l+f: McDonalds serviert klare Passwörter

Nicht so lecker: Das Kennwort befindet sich in einem Keks.

20.01.2017, 14:33 Uhr

Lesezeit: 1 Min.

Von

Dennis Schirrmacher

Durch das Ausnutzen einer XSS-Schwachstelle in der offiziellen McDonalds-Webseite erlangte der Sicherheitsforscher Tijme Gommers eigenen Angaben zufolge Zugriff auf Passwörter von Accounts – im Klartext. In seinem Blog stellt Gommers den Übergriff ausführlich vor.

tl;dr (Die Kurzfassung)

Klickt ein Opfer auf einen präparierten Link, kann ein Angreifer einen lokalen Cookie abgreifen, in dem sich ein Passwort befindet. Folglich soll man dieses extrahieren und entschlüsseln können – der Schlüssel dafür soll für alle Kennwörter gleich sein. Aus Gommers Beitrag geht nicht hervor, ob McDonalds die Lücke bereits geschlossen hat.

In einem Reddit-Thread erntet Gommers für seine Offenlegung der Schwachstelle Kritik: Demzufolge soll er McDonalds Heiligabend 2016 darüber in Kenntnis gesetzt haben und keine zeitnahe Antwort erhalten haben. Am 5. Januar hat er dann seinen Blog-Eintrag veröffentlicht. McDonalds habe aufgrund verschiedener Feiertage schlicht keine Zeit zum Reagieren gehabt, so die Kritiker.

lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security

(des)

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

l+f: McDonalds serviert klare Passwörter

tl;dr (Die Kurzfassung)

Spiele

5 Monate für nur 5 € lesen.5 Monate für nur 5 € lesen.

Das digitale Abo für IT und Technik.