Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

l+f: Server-Zugangsdaten mit Pommes

Eine bekannte Fast Food-Kette verschickte im Rahmen eines Gewinnspiels Mails, bei deren Anblick manchem die heiße Apfeltasche aus der Hand gefallen sein dürfte.

In Pocket speichern vorlesen Druckansicht 11 Kommentare lesen
Bitcoin

(Bild: Shutterstock.com / Public Domain (Collage von heise online))

Lesezeit: 2 Min.
Security
Von

Beim "McDonalds Monopoly" winken jährlich Preise beim Sammeln und Kombinieren von Stickern auf Fast Food-Verpackungen. In Großbritannien erhielten Gewinner der dort derzeit laufenden Sticker-Aktion allerdings ein paar Extras, mit denen sie sicherlich nicht gerechnet hatten. Gewinnbenachrichtigungen, die am vergangenen Wochenende per E-Mail verschickt worden waren, enthielten neben Gutschein-Codes und Co. nämlich auch Informationen zu SQL-Datenbankservern des UK-Monopoly-Spiels – einschließlich Passwörtern im Klartext.

Pentest-Futter aus der Burger-Schachtel

"Never trust a clown to secure your connection strings", twitterte Troy Hunt, Betreiber des Password-Prüfdienst HaveIBeenPwned, in Anspielung auf das Maskottchen der Fast-Food-Kette. Gegenüber Bleeping Computer berichtete er, von einem Betroffenen über den Vorfall informiert worden zu sein. Der habe die Daten aus den geleakten Verbindungszeichenfolgen (Connection Strings) ausprobiert.

Dank Firewall-Schutz sei der Zugriff des glücklichen Gewinners auf den Server im produktiven Einsatz gescheitert. Am Staging-Datenbankserver, also einer Testumgebung, die allerdings typischerweise auch geklonte "echte" Daten enthält, habe er sich hingegen erfolgreich anmelden können. Aus nachvollziehbaren Gründen (und gewissermaßen trotz Einladung per Mail) habe er jedoch darauf verzichtet, sich ausgiebig umzuschauen.

McDonalds UK sei über den Vorfall informiert worden und habe die Passwörter für beide Server mittlerweile geändert, berichtet Hunt weiter. Bleibt zu hoffen, dass im Gegensatz zu vorher nicht nochmals ein und dasselbe Passwort für beide Systeme verwendet wurde.

In einem Statement hat das Unternehmen gegenüber Bleeping Computer zumindest das Leak der Daten für den Staging-Server (allerdings nur für diesen) eingeräumt: Die betreffenden E-Mails seien aufgrund eines administrativen Fehlers an eine kleine Anzahl von Personen geschickt worden. Eine Kompromittierung sensibler Daten habe es nicht gegeben und Betroffene würden informiert.

Mehr Infos

lost+found

Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.

Alle l+f Meldungen in der Übersicht

(ovw)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten