麦当劳官网漏洞或致用户密码被盗

很多人信赖麦当劳的汉堡，但是你别太指望其网站能够保障用户密码的安全。来自荷兰的独立软件工程师 Tijme Gommers 发现，这家快餐连锁企业的主站（McDonalds.com）上存在一个仍然活跃的漏洞，可被攻击者利用来获取用户敏感信息。Gommers 在博客中解释到：该漏洞归咎于输入环境的疏忽（本该是一项标准的保护措施），别有用心的人可以借其抓取用户的登录凭证等敏感信息。

由于麦当劳官网直接用 cookies 来保存用户密码，该漏洞可被用来存储用户的密码口令，使得攻击者能够轻松“恢复”出这些详情。

该漏洞仅影响曾在麦当劳网站上登录过的用户账号（该公司可通过这项技术来辨识会员并给予折扣/优惠券）。

在此，我们强烈建议用户变更密码（以及其它网站的登陆凭证 -- 如果你使用了相同的密码），并且慎重使用麦当劳官网的“记住我”（用户名/密码保存）功能。

拥有巨量用户的知名快餐连锁企业很容易被攻击者盯上，比如肯德基就刚刚向超过 120 万会员发去了警示邮件，提醒其密码或已被盗。