McDelivery-Hack: McDonalds speist Sicherheitsforscher billig ab

13 Stunden vor

Ein Sicherheitsforscher hat gravierende Schwachstellen im McDelivery-System der Fastfood-Kette McDonald entdeckt. Er konnte fremde Bestellungen einsehen, Preise manipulieren und sich so massenweise Produkte für nur einen Cent bestellen.

McDonald's - Figure 1
Foto WinFuture

Fatale Sicherheitslücken bei McDonald

Der Sicherheitsforscher Eaton Zveare hat massive Schwachstellen im Liefersystem McDelivery von McDonalds in Indien aufgedeckt und in seinem Blog genau erläutert, wie er massenweise falsche Bestellungen hätte auslösen können. So viel vorab: Inwiefern diese Sicherheitslücken auch in anderen Ländern genauso auftauchten, ist aktuell unbekannt. McDonalds hat zudem bereits reagiert und die Schwachstellen geschlossen.

Die Entdeckungen des Forschers sind auf jeden Fall alarmierend. Durch simples Ändern von IDs in der URL konnte er nicht nur Einblick in fremde Bestellungen gewinnen, sondern diese auch nach Belieben manipulieren.

Ausnutzung von BOLA-Schwachstellen

Wie Heise berichtet, nutzte der Sicherheitsexperte sogenannte BOLA- und Broken-Object-Property-Level-Authorization-Schwachstellen aus. Diese Lücken ermöglichten es, aufgrund fehlender Autorisierung auf Daten zuzugreifen, die eigentlich nicht für den jeweiligen Nutzer bestimmt waren. Der Forscher demonstrierte die Schwachstelle, indem er 100 Hash Browns - die beliebten Kartoffelpuffer von McDonalds - für nur einen Cent bestellte. Um keinen tatsächlichen Schaden anzurichten, stornierte er die Bestellung umgehend.

Mit dem richtigen Timing wäre es laut Eaton Zveare auch möglich gewesen, bereits bezahlte Bestellungen anderer Kunden umzuleiten. Ein Angreifer hätte so theoretisch ein Menü erhalten können, das von einem anderen Kunden bezahlt wurde - ohne dass dieser die Manipulation zunächst bemerkt hätte.

Es ist nicht das erste Mal, dass McDonalds mit Sicherheitsproblemen zu kämpfen hat. Bereits 2017 machte ein Datenleck bei McDelivery Schlagzeilen, bei dem persönliche Kundendaten unbeabsichtigt öffentlich wurden.

Reaktion von McDonald's

McDonalds reagierte schnell auf die Meldung des Sicherheitsforschers - alle entdeckten Schwachstellen wurden inzwischen behoben. Als Dankeschön erhielt der Experte einen Amazon-Gutschein im Wert von 240 US-Dollar (etwa 231 Euro). Sein Vorschlag, eine "Gold Card" für lebenslanges Gratisessen bei McDonald zu erhalten, wurde allerdings abgelehnt.

Was haltet ihr von diesem Sicherheitsvorfall? Würdet ihr nach solch einem Ereignis noch Vertrauen in Online-Bestellsysteme haben? Teilt eure Gedanken in den Kommentaren!

Zusammenfassung

Sicherheitsforscher deckt Schwachstellen in McDelivery-System auf Manipulation von Preisen und Einsicht in fremde Bestellungen möglich Änderung von IDs in URL ermöglichte unbefugten Datenzugriff Forscher bestellte 100 Hash Browns für einen Cent als Demonstration Umleitung bereits bezahlter Bestellungen anderer Kunden wäre möglich McDonald's hat alle entdeckten Sicherheitslücken inzwischen behoben Forscher erhielt als Dank einen Amazon-Gutschein über 240 US-Dollar

Siehe auch:

Mehr lesen
Ähnliche Nachrichten
Die beliebtesten Nachrichten der Woche