Thought Leadership
Eine White-Hat-Hackerin deckt gravierende Schwachstellen in McDonald’s-Portalen auf – Gratis-Bestellungen und Admin-Zugriffe inklusive.
Die unter dem Pseudonym “Bobdahacker” arbeitende Forscherin entdeckte zunächst eine Schwachstelle in McDonald’s Online-Delivery-App, wie sie in ihrem Blog erklärt. Das System führte bei der Abfrage von Bonuspunkten ausschließlich clientseitige Sicherheitsprüfungen durch – eine serverseitige Validierung fand nicht statt. “Man musste nur ein entsprechendes Konto erstellen und schon funktionierte es, allerdings nur für Lieferbestellungen”, so die Hackerin.
Problematische Kommunikationswege
McDonald’s verfügte über keine gültige security.txt-Datei, die Sicherheitsforschern den Meldeweg für Schwachstellen vorgibt. Ein kontaktierter McDonald’s-Security-Mitarbeiter bezeichnete sich zunächst als “zu beschäftigt” für eine Behebung. Erst der Hinweis auf mögliche kostenlose Essensbestellungen führte zu Aktivität seitens des Unternehmens. “Ich habe buchstäblich die Zentrale von McDonald’s angerufen und angefangen, wahllos Namen von Sicherheitsmitarbeitern zu nennen, die ich auf LinkedIn gefunden hatte”, erklärt sie.
Design Hub mit Authentifizierungsproblemen
Das Feel-Good Design Hub von McDonald’s, eine Plattform mit Marketing- und Werbematerialien für Mitarbeiter und Werbeagenturen in 120 Ländern, wies ebenfalls Sicherheitsmängel auf.
Nach der Benachrichtigung dauerte die Behebung drei Monate. Die implementierte Lösung erwies sich jedoch als unvollständig: Durch Änderung der URL von “login” zu “register” konnten sich weiterhin beliebige Nutzer registrieren. Das System versendete anschließend Passwörter im Klartext.
Eine JavaScript-Code-Analyse offenbarte zudem, dass MagicBell-API-Key und Secret für die Authentifizierung einsehbar waren. Über die Algolia-Suchfunktion waren Namen und E-Mail-Adressen aller Zugangsbeantragenden zugänglich.
OAuth-Implementierung mit Berechtigungsfehlern
Bei McDonald’s-Mitarbeiterportalen ermöglichte eine fehlerhafte OAuth-Implementierung einfachen Angestellten den Zugriff auf Führungskräfte-Portale samt vertraulicher Unternehmensdokumente.
Das System erlaubte die Suche nach beliebigen Mitarbeitern vom CEO bis zu Filialmanagern sowie den Abruf deren E-Mail-Adressen. Ein McDonald’s-Mitarbeiter, der der Hackerin bei der Untersuchung assistierte, wurde nach der Meldung wegen “Sicherheitsbedenken des Konzerns” entlassen.
Franchise-Portal ohne Autorisierung
Das Portal Global Restaurant Standards mit Vorgaben für Franchisenehmer verfügte über keine Admin-Autorisierung. Beliebige Nutzer konnten daher gehostete Inhalte verändern.
CosMc’s-Schwachstellen
Auch die 2023 gestartete und nach weniger als zwei Jahren eingestellte Coffeeshop-Marke CosMc’s wies Sicherheitsprobleme auf. Ein Werbe-Mitgliedschaftscoupon ließ sich zurücksetzen und in der Formulierung beliebig ändern.
Weitere Sicherheitsprobleme
McDonald’s hatte bereits im Vormonat Schlagzeilen gemacht, als Forscher den KI-Chatbot “Olivia” zur Bewerberauswahl hackten. Das Admin-Passwort des von Paradox.ai entwickelten Systems lautete “123456”. Darüber erlangten die Forscher Zugang zu Daten von 64 Millionen Bewerbern. Paradox entschuldigte sich und etablierte ein Bug-Bounty-Programm.
McDonald’s hat nach Angaben der Forscherin nahezu alle gemeldeten Probleme behoben. Das Feel-Good Design Hub sei jedoch noch nicht vollständig abgesichert. Eine security.txt-Datei existiert weiterhin nicht.
