Willkommen bei McDonald's...
sToRm 
...Ihre Bestellung bitte! "Hallo...öhm...Ich hätte gerne ein Happy Meal mit großem XSS-Burger, einen großen Script-Milchshake, dazu einen kleinen XSS-Salat mit Malware-Sauce...und...ahja...natürlich die Fritten nicht vergessen! Achso, als "Spielzeug" im Happy Meal bitte ne runde "Super Mario". Danke!" ;-) Ja, so könnte sich in Zukunft eine Bestellung bei der beliebten Fast-Food-Bude McDonald's anhören. Neuerdings scheint man dort nämlich eher wenig Wert auf sauberen und sicheren Code zu legen. Eine schicke Website glänzt am Bildschirm, Spielereien wo das Auge hinsieht. Sicherheit-Online meint, da darf ne Runde Super Mario natürlich nicht fehlen. Also hat man sich eine kurze Runde gegönnt.
Wie Sie sicher schon richtig verstanden haben, wurde in den vergangenen Tagen eine Schwachstelle im McDonald's Internetportal, bei den Betreibern gemeldet. Wir haben zuvor von Dritten einen Hinweis erhalten und die Schwachstelle anschließend überprüft. Die Problematik konnte bestätigt werden und so hatte man wieder ordentlich Spaß beim "Zocken". Bisher gab es noch keine Reaktion von den Betreibern, obwohl man es bei einem Unternehmen dieser Größe doch schon eher erwarten könnte.
Nein, man möchte sich in keinem Fall über die Schwachstelle lustig machen. Ein wenig verwunderlich ist es aber schon, dass eine Problematik dieser Art, auf einer Website auftaucht, bei der man so Etwas nicht erwartet. Es handelt sich hierbei um eine Schwachstelle, die durch ungefilterte Parameter entsteht und eigentlich mit nur einer Zeile Code behoben werden könnte. Man kann hier nicht nachvollziehen, wie man als IT-Dienstleister so fahrlässig arbeiten kann.
Bleibt zu hoffen, dass McDonald's möglichst schnell reagiert und die Lücken schließen kann. Natürlich stehen wir auch in diesem Fall gerne zur Seite. Wie immer liegt es aber am Betreiber. Wir werden an dieser Stelle über Neuigkeiten informieren.
Nachtrag I :
Offenbar hat man bei McDonald's aus der Vergangenheit nichts gelernt. Im Dezember 2010 wurden durch Sicherheitsprobleme bei McDonald's bzw. deren Geschäftspartner/Dienstleister, unzählige, sensible Kundendaten gestohlen. Hier die News zum Fall: Klick Das McDonald's Statement über den digitalen Einbruch: Klick Wie ein Unternehmen dieser Größe auch nach so einem Vorfall noch nicht einsehen kann, dass die Sicherheit der Besucher und Kunden zu den wichtigsten Punkten im "Netz" gehört, kann man nun wirklich nicht mehr nachvollziehen. Die Tatsache, dass unsere Hinweise bereits bei McDonald's eingetroffen sind, jedoch bisher keinerlei Änderung an der Problematik festzustellen ist und auch kein Kontakt hergestellt wurde, bleibt unverstanden. Neben der bisher erkannten (uns gemeldeten) Schwachstellen, konnten wir nun auch weitere Sicherheitslücken in anderen als dem deutschen McDonald's Internetportal feststellen. Es ist also davon auszugehen, dass eine potentielle Gefahr für die Benutzer besteht. Details über die bekannten Schwachstellen möchten wir zum Schutz der Besucher, an dieser Stelle nicht öffentlich darstellen. Wer sich aber einen kleinen Einblick in das XSS-Problem verschaffen möchte, kann hierzu eine kleine und ungefährliche Runde "Super Mario" spielen: http://tinyurl.com/3us8ty2 Als Abwechslung ist übrigens auch Zelda verfügbar: http://tinyurl.com/3ta52e6
Update I - 29.07.2011:
So wie es aussieht, hat man bei McDonald's bereits reagiert und eine der Schwachstellen entfernt. Zumindest hat man nun versucht das "Super Mario" spielen zu unterbinden. Nun, ist ja an und für sich toll, wenn man so schnell reagiert (zumindest dann, wenn bereits die Medien berichten). Wenn man aber schon reagiert, dann richtig. Und dazu gehört auch, dass man alle Schwachstellen beseitigt. Hierzu ist aber in der Regel ein Kontakt zum "Finder" ganz praktisch, denn nur so erhält man Infos zu allen entdeckten Schwachstellen. Da kann man einfach so eine Email schicken und erhält genaue Informationen zu den bekannten Schwachstellen. Auch Informationen dazu, wie man derartige Schwachstellen beseitigen kann gibt es. Ja, aber dafür muss man halt einfach mal über den eigenen Schatten springen. Uns ist die Inkompetenz der IT-Dienstleister dort ja prinzipiell egal. Wenn aber grob fahrlässig und aus purem Stolz, dort nichtmal jemand schafft den Hörer in die Hand zu nehmen oder auf eine Email zu antworten, dann kann man nicht helfen und lediglich über diese doofe Situation schmunzeln. Damit aber das Schmunzeln nicht in Langeweile ausartet, nehmen wir doch einfach noch ne Runde "Super Mario" und nutzen dabei eine andere Problemzone: http://tinyurl.com/3thjtw4 Man kann aber auch mal den King zu Ronald holen: http://tinyurl.com/3lpm9j2
Update II - 31.07.2011:
So wie es aussieht, hat man nun eine weitere Lücke geschlossen. Bisher hat man aber noch keinen Kontaktversuch unternommen, um vielleicht noch weitere Schwachstellen mitgeteilt zu bekommen. Schön ist aber, dass man zumindest auf die öffentlich dargestellten Lücken reagiert. Jede bisher zur Schau gestellte Schwachstelle wurde behoben. Na wenn das SO klappt, dann machen wir doch direkt weiter.
Wie wäre es mit ein wenig Abwechslung in Form von "Space Purge": http://tinyurl.com/3sacpe9
Update III - 03.08.2011:
Wie zu erwarten, hat man bis zum heutigen Tag keinen Kontakt mit uns aufgenommen. Auch die oben demonstrierte Schwachstelle einer anderen McDonald's Website wurde bisher nicht geschlossen. In den vergangenen Tagen wollte man eine mögliche Reaktion von Seiten der Betreiber abwarten, ehe man ein weiteres Update veröffentlicht. Scheinbar denkt man in der IT-Abteilung bzw. bei der für die Website verantwortlichen Agentur, dass nun alle Lücken innerhalb der deutschen Website geschlossen wurden. Schließlich haben wir im oben genannten Beispiel nur eine Lücke bei "aboutmcdonalds.com" präsentiert. Man hatte zwar nicht vor, noch weitere Schwachstellen zu veröffentlichen, um die Peinlichkeit für die Betreiber in Grenzen zu halten. Da aber keinerlei Einsicht feststellbar ist und weiterhin die Besucher der McDonald's Portale gefährdet sind, steht die weitere Berichterstattung in einem verstärkten, öffentlichen Interesse. Es geht hier um den Schutz der Besucher und auch der eigenen Mitarbeiter! Da kann es doch nicht wahr sein, dass man mehreren Hinweisen zu Schwachstellen mit derartiger Verschwiegenheit und totaler Ignoranz begegnet. Erst recht nicht, wenn man erst vor wenigen Monaten mit einem Skandal kämpfen musste, welcher ebenfalls mit Sicherheitslücken zu tun hatte.
Vor wenigen Minuten fand eine kurze Unterhaltung mit Lars Sobiraj (News Chefredakteur bei den Kollegen von "gulli.com") statt. Er hat dort bereits offen über die Problematik berichtet (siehe Beitrag bei gulli.com). Wir erhielten die Information, dass auch "gulli" bereits von Dritten kontaktiert und über eine weitere Schwachstelle im McDonald's Internetportal informiert wurde. Die genannte Schwachstelle war Sicherheit-Online zwar bereits bekannt, wurde aber für weitere Nachprüfungen bisher nicht veröffentlicht. Da es bei McDonald's aber scheinbar nicht anders funktioniert: Hier eine weitere Runde "Super Mario": http://tinyurl.com/3cc4sk6
