Die gefährlichen Sicherheitslücken im Detail

Das Bestellsystem McDelivery, das allein in Indien millionenfach genutzt wird, war anfällig für sogenannte BOLA- und Broken-Object-Property-Level-Authorization-Angriffe. Der Forscher fand heraus, dass durch simples Ändern von IDs in der URL laufende Bestellungen umgeleitet oder Preise geändert werden konnten.

Zum Test bestellte er 100 Kartoffelpuffer für nur 1 Cent. Zwar stornierte er die Bestellung direkt, doch der Vorfall zeigt, wie leicht das System ausgenutzt werden konnte: Mit gutem Timing wäre es sogar möglich gewesen, Bestellungen anderer Nutzer an die eigene Adresse umzuleiten – auf deren Kosten.

McDonald’s reagiert – Forscher belohnt

Nachdem die Sicherheitslücken gemeldet wurden, hat McDonald’s Indien umgehend reagiert und die Schwachstellen behoben. Der Sicherheitsforscher erhielt als Dankeschön einen Amazon-Gutschein im Wert von 240 US-Dollar. Sein Vorschlag, eine Gold Card für lebenslanges gratis Essen zu bekommen, wurde allerdings abgelehnt.

Sicherheitsprobleme bei McDonald’s keine Seltenheit

Bereits 2017 sorgte ein Datenleck bei McDelivery für Schlagzeilen. Damals wurden persönliche Daten von Kunden unbefugt öffentlich gemacht. Auch wenn die Probleme in Indien mittlerweile behoben sind, zeigt der aktuelle Fall erneut, wie wichtig IT-Sicherheit für globale Konzerne ist.

McDonald’s betonte, dass keine sensiblen Kundendaten missbraucht wurden und das System nun sicher ist. Nutzer können die App wieder ohne Bedenken verwenden – doch der Vorfall dürfte bei vielen Kunden ein flaues Gefühl hinterlassen.