荷蘭資安研究人員Tijme Gommers近日揭露全球速食連鎖商店麥當勞(McDonald’s)的官方網站(McDonalds.com)藏匿了兩個安全漏洞,將允許駭客解密用戶的密碼,還能取得用戶的姓名及地址等通訊細節。
Gommers在麥當勞官網所發現的兩個漏洞分別是加密儲存漏洞與跨站指令碼(Cross-site Scripting)漏洞。Gommers說明,當使用者要登入麥當勞網站時,有一選項是要求該站記住密碼,方便日後直接登入,然而,麥當勞卻將密碼儲存在cookie中,而且可於客戶端執行解密,而讓駭客有機會取得麥當勞用戶的明文密碼。
駭客必須先利用XSS漏洞來竊取使用者的cookie,然後再解密存放在cookie中的密碼。
雖然揭露了安全漏洞,但Gommers卻惹來安全社群的撻伐,因為他是在去年的12月24日通知麥當勞,因未取得麥當勞的回應,於是於今年1月5日便對外公開漏洞。
安全社群指出,這段期間真正的工作日只有5天,更何況它還是員工的休假旺季,批評Gommers破壞了責任揭露的精神。