30.07.11 10:14 Uhr
 6.381
 

Hacker laden über McDonald´s-Webseite zu eine Runde "Super Mario" ein

Hacker haben über eine Lücke auf der Webseite "mcdonalds.de" der Fast-Food-Kette ein Flashgame untergeschoben. Dadurch hatte McDonald´s unfreiwillig die Kunden zu einem Spiel "Super Mario" eingeladen.

Die Sicherheitslücke wurde zwar von McDonald´s kurze Zeit später geschlossen, aber nun soll das Spiel über eine weitere Sicherheitslücke erreichbar sein. Die Hacker machten auf harmlose Weise auf die Sicherheitslücken aufmerksam.

Sie hätten aber auch die Möglichkeit gehabt, über diese Lücke ein echt aussehendes Formular zu platzieren, um damit Logindaten und Bankverbindungen der Kunden abzufangen.


Videoplayer auf dieser Seite ausblenden
WebReporter: leerpe
Rubrik:   High Tech
Schlagworte: Hacker, Sicherheitslücke, Webseite, McDonald´s, Super Mario
Quelle: www.gulli.com

Jetzt Deinen
Kommentar abgeben!

DAS KÖNNTE DICH AUCH INTERESSIEREN

Erfinder verrät: Super Mario ist jünger als gedacht
"Super Mario Run": Exklusives iOS-Spiel angekündigt
Enthüllt: Nintendo bringt "Super Mario" auf das iPhone

Diese News zu meinen Favoriten hinzufügen Beitrag abgeben

8 User-Kommentare Alle Kommentare öffnen

Kommentar ansehen
30.07.2011 10:34 Uhr von NilsGH
 
+18 | -7
 
ANZEIGEN
Bankdaten über McDonald´s Webseite abgreifen?

Wohl eher nicht :) Wieso soll ein Besucher dieser Webseite dort seine Bankverbindung preisgeben? Onlinebestellung eines BigMc Menüs?!

Schadsoftware implementieren, okay. Aber Login und Bankverbindung? Sorry, nein.

Das soll natürlich nicht heißen, dass diese Lücke nicht auf anderen Seiten (bspw. einer Bank) nicht möglich wäre. Das geht schon, aber kein Mensch wird wohl so blöd sein, diese Daten bei MacDonald´s anzugeben, oder?
Kommentar ansehen
30.07.2011 10:36 Uhr von l0wsk1ll3d
 
+44 | -2
 
ANZEIGEN
@NilsGH: Sag niemals nie, wenn es um die Dummheit von Menschen geht!
Kommentar ansehen
30.07.2011 10:59 Uhr von buzzensteiner2008
 
+13 | -0
 
ANZEIGEN
eben Man müsste nur ein "Komplettformular" anhängen, bei dem eben die Kontodaten NICHT als "Eingabe erforderlich" markiert sind...dann würd´s relativ harmlos aussehen, jeder Normaldenkende das Feld auslassen...

Aus meiner Praxis in der IT Branche kann ich sagen, daß genug (leider Klischee) Rentner, alleinerziehende Jungmütter mit 3 Kinder+ und neueingstiegene weils Hip ist Macuser SOFORT Ihre Bankdaten,Kredikartendaten,wenns ein freifeld gibt Klamottengröße und Einkaufsverhalten eintippen... wenn man an die Eingabe dieser Daten noch einen Gutscheinversprechen verspricht, der postalisch zugesendet wird, kann man RICHTIG gut Daten sammeln...

Selbst nen Virendownload in form einer mc game.exe wär dann drin... ihr glaubt nicht, was man manchmal so reinbekommt...

[ nachträglich editiert von buzzensteiner2008 ]
Kommentar ansehen
30.07.2011 11:11 Uhr von Splinderbob
 
+0 | -0
 
ANZEIGEN
Nicht mcdonald.de sondern mcdonalds.de
Kommentar ansehen
30.07.2011 13:00 Uhr von arbeitsloser1
 
+1 | -2
 
ANZEIGEN
es muss heißen: zu eineR runde....
Kommentar ansehen
30.07.2011 13:05 Uhr von NilsGH
 
+1 | -0
 
ANZEIGEN
okay okay ;): Es gibt alles, ich sehs ja ein.


Deshalb hätte ich wohl besser "halbwegs denkender Besucher dieser Webseite" schreiben sollen.

Irgend wer wird wohl schon so dusselig sein und das probieren, wenn man es mit entsprechend lockenden Aussagen schmückt.

Eben frei nach dem Motto: "Es steht jeden Tag ein Dummer auf, man muss ihn nur finden."

Ich seh´s ja ein ;)

[ nachträglich editiert von NilsGH ]
Kommentar ansehen
30.07.2011 13:09 Uhr von wolfspirit
 
+1 | -2
 
ANZEIGEN
Nicht so einfach: Das ist eine ganz normal XSS-Lücke.
Keine "Ich ändere mal die seite für alle"-Lücke.
Durch anhängen von Daten an eingaben wird dadurch bei der nächsten anzeige aus dem Eingabefeld "gesprungen" und das HTML dahinter angehängt. D.h. man müsste jemandem eine gefälschte URL unterschieben um soetwas zu verwirklichen.
In etwa so: http://tinyurl.com/... (man beachte das "Bankdaten" Feld). Dies gibts auf der originalseite nicht: http://www.mcdonalds.de/...

Die Seite wurde nicht für jeden der die Webseite aufruft geändert. So wie es ist, ist es keine große Kunst und nicht sonderlich schwierig. XSS-Lücken finden sich auf vielen bekannten Webseiten und sind, so lange kein Login auf der Webseite möglich ist (cookie-klau) auch nicht sonderlich gefährlich für den Betreiber.

[ nachträglich editiert von wolfspirit ]
Kommentar ansehen
30.07.2011 14:08 Uhr von ThomasHambrecht
 
+1 | -0
 
ANZEIGEN
Dann muss sich wohl jeder Sorgen machen der eine Internetseite betreibt. Selbst meine kleine Internetseite wird dann wohl demnächst gehackt - man könnte ja dort eine kleine Spendenaktion via PayPal für hungernde Kinder in Somalia einbauen.
Das ist so, als ob nette Nachbarn einbrechen und den Fernseher klauen - nur um darauf aufmerksam zu machen, dass anderes Gesinde noch mehr hätte klauen können.

Refresh |<-- <-   1-8/8   -> -->|
Diese News zu meinen Favoriten hinzufügen Beitrag abgeben


SCHLIESSEN

Willst Du die Seite wirklich verlassen?


DAS KÖNNTE DICH AUCH INTERESSIEREN

Erfinder verrät: Super Mario ist jünger als gedacht
"Super Mario Run": Exklusives iOS-Spiel angekündigt
Enthüllt: Nintendo bringt "Super Mario" auf das iPhone


...oder unseren und keine aktuellen News mehr verpassen?