McDonald’s Design-Hub: Sichern wie in den Neunzigern

McDonald's fühlt sich offenbar in Sachen Security noch im Drive-In-Modus: Statt stabiler Abwehr gibt's peinliche Bauchlandungen. Der Sicherheitsforscher mit dem Pseudonym BobDaHacker stolperte über den „Feel-Good Design Hub“, ein Marketing-Portal, das global von Mitarbeitern und Agenturen in über 120 Ländern genutzt wird.

Dort genügte zunächst ein clientseitiges Passwort, mehr Schein als Schutz. Erst nach drei Monaten gab's ein „richtiges“ Login-System. Aber natürlich mit einem Haken: Wer in der URL „login“ durch „register“ ersetzte, durfte einfach ein Nutzerkonto erstellen und erhielt das Passwort im Klartext per E-Mail.

Während der weiteren Suche fand Bob zudem:

• Offene API-Schlüssel im JavaScript
• Zugriff auf interne Suchindizes mit Bewerberdaten
• Ein Tool zur globalen Mitarbeitersuche inklusive E-Mail-Adressen
• Ein Admin-Panel ohne Authentifizierung
• Interne Dokumente frei zugänglich
• Promo-APIs, die sich mit minimalem Aufwand missbrauchen ließen

Das Sahnehäubchen des Chaos: McDonald's hatte zwar eine security.txt eingerichtet - typischer Weg für Sicherheitshinweise. Aber: Nach zwei Monaten war die Datei wieder verschwunden. Bob musste zum Telefonhörer greifen, Namen von Sicherheitsmitarbeitern auf LinkedIn suchen und diese ins Endlos-Routing stecken, bis tatsächlich jemand reagierte.

Schlimmer noch: Der Kollege, der Bob bei der Analyse half, wurde laut Bericht entlassen, offenbar, weil man bei McDonald's „Sicherheitsbedenken“ als unerwünscht ansieht. Immerhin wurden die meisten Schwachstellen behoben - aber einen klaren Meldekanal oder Bug-Bounty gibt's bis heute nicht.

Und mal ehrlich: Wenn selbst ein vorheriger Vorfall mit dem Passwort „123456“ auf einem internen System nicht zur Alarmstufe Rot führt, läuft in der Security-Strategie etwas gründlich schief.