McDonalds leakt Passwörter von Monopoly-Game

McDonalds hat dieses Jahr in Großbritannien wieder sein beliebtes Monopoly-VIP-Spiel an den Start gebracht. Kund*innen können Codes sammeln, wenn sie bei McDonalds essen und haben dabei die Chance, einen Preis zu gewinnen. 100.000 Pfund in Cash ist der höchste Gewinn, sowie ein Urlaub auf Ibiza. Blöderweise gab es beim VIP-Game einen Fehler, der Zugangsdaten zu Servern offengelegt hat.

Vertrauliche Informationen für die Webanwendung wurden an alle Gewinner*innen des Spiels gesandt, berichtet Bleeping Computer. Dazu gehörten Hostnamen für die Azure SQL-Datenbanken sowie die Anmeldenamen und Kennwörter der Datenbanken. Einer der Preisträger*innen hatte die Mail mit dem Sicherheitsforscher Troy Hunt geteilt.

Keine persönlichen Daten betroffen

Dieser probierte aus, ob er mit diesen Daten in die Systeme eindringen kann. Der Produktionsserver sei durch eine Firewall abgeschirmt, sagte Hunt, aber er könne auf sogenannte „Stagingserver“ zugreifen. Daraufhin ahbe er sofort die Verbindung getrennt.

Da diese Datenbanken Gewinncodes enthalten haben könnten, könnten skrupellose Personen mit dieser Lücke unbenutzte Spielcodes runterladen. McDonalds hatte zwar nicht auf den Hinweis des Sicherheitsforschers geantwortet, aber das Passwort der Stagingserver geändert.

"Aufgrund eines Verwaltungsfehlers erhielt eine kleine Anzahl von Kund*innen per E-Mail Details zu einer Staging-Website. Es wurden keine persönlichen Daten kompromittiert oder an andere Parteien weitergegeben", sagte McDonalds in einer Erklärung zu BleepingComputer.