l+f: Sicherheitsforscher bestellt bei McDonald's fĂĽr 1 Cent

Der McDonald's-Lieferservice in Indien war kaputt und Bestellungen waren umfangreich manipulierbar.

In Pocket speichern vorlesen Druckansicht 40 Kommentare lesen

(Bild: EatonWorks)

Lesezeit: 1 Min.

Bestellungen umleiten und Preise ändern: Ein Sicherheitsforscher ist auf viele Fehler in McDonald's-Bestellsystem McDelivery in Indien gestoßen und hätte jedes Produkt für 1 Cent bestellen können.

Aufgrund von Broken-Object-Level-Authorization-(BOLA)- und Broken-Object-Property-Level-Authorization-Schwachstellen konnte ein Sicherheitsforscher an der API des Lieferservices ansetzen und manipulierend eingreifen. Solche Schwachstellen erlauben es Angreifern aufgrund einer fehlenden Autorisierung, nicht fĂĽr sie vorgesehene Daten einzusehen.

So konnte er seinem Bericht zufolge durch das simple Anpassen von IDs in URLs fremde Bestellungen einsehen und sogar eigene Bestellungen aufgeben und manipulieren. Dabei stieß er unter anderem auf eine API zum Erzeugen von Rechnungen und konnte die Preise anpassen. Er gibt an, so 100 Kartoffelpuffer (Hash Brown) für 1 Cent bestellt zu haben. Die Bestellung ging durch. Um Missverständnissen vorzubeugen, hat er sie umgehend storniert. Außerdem führt der Sicherheitsforscher aus, dass man mit dem richtigen Timing bereits getätigte Bestellungen hätte umleiten können. So würde man ein Menü erhalten, das ein anderer bezahlt hat.

Er versichert, dass davon ausschließlich der Online-Bestellservice von McDonald's in Indien betroffen war. Mittlerweile wurden die Sicherheitsprobleme gelöst und der Sicherheitsforscher erhielt als Belohnung einen Amazon-Gutschein im Wert von 240 US-Dollar. Sein Vorschlag, aufgrund der Schwere der Schwachstellen eine Gold Card zum lebenslangen gratis Essen bei McDonald's USA springen zu lassen, wurde abgelehnt.

Mehr Infos

lost+found

Die heise-Security-Rubrik fĂĽr Kurzes und Skurriles aus der IT-Security.

Alle l+f Meldungen in der Ăśbersicht

(des)