McDonald's fühlt sich offenbar in Sachen Security noch im Drive-In-Modus: Statt stabiler Abwehr gibt's peinliche Bauchlandungen. Der Sicherheitsforscher mit dem Pseudonym BobDaHacker stolperte über den „Feel-Good Design Hub“, ein Marketing-Portal, das global von Mitarbeitern und Agenturen in über 120 Ländern genutzt wird.
Dort genügte zunächst ein clientseitiges Passwort, mehr Schein als Schutz. Erst nach drei Monaten gab's ein „richtiges“ Login-System. Aber natürlich mit einem Haken: Wer in der URL „login“ durch „register“ ersetzte, durfte einfach ein Nutzerkonto erstellen und erhielt das Passwort im Klartext per E-Mail.
Während der weiteren Suche fand Bob zudem:
- Offene API-Schlüssel im JavaScript
- Zugriff auf interne Suchindizes mit Bewerberdaten
- Ein Tool zur globalen Mitarbeitersuche inklusive E-Mail-Adressen
- Ein Admin-Panel ohne Authentifizierung
- Interne Dokumente frei zugänglich
- Promo-APIs, die sich mit minimalem Aufwand missbrauchen ließen
Das Sahnehäubchen des Chaos: McDonald's hatte zwar eine security.txt eingerichtet - typischer Weg für Sicherheitshinweise. Aber: Nach zwei Monaten war die Datei wieder verschwunden. Bob musste zum Telefonhörer greifen, Namen von Sicherheitsmitarbeitern auf LinkedIn suchen und diese ins Endlos-Routing stecken, bis tatsächlich jemand reagierte.
Schlimmer noch: Der Kollege, der Bob bei der Analyse half, wurde laut Bericht entlassen, offenbar, weil man bei McDonald's „Sicherheitsbedenken“ als unerwünscht ansieht. Immerhin wurden die meisten Schwachstellen behoben - aber einen klaren Meldekanal oder Bug-Bounty gibt's bis heute nicht.
Und mal ehrlich: Wenn selbst ein vorheriger Vorfall mit dem Passwort „123456“ auf einem internen System nicht zur Alarmstufe Rot führt, läuft in der Security-Strategie etwas gründlich schief.
Kommentare (0)