Как стало известно TechCrunch, крупная система доставки McDonald's в Индии раскрыла личную информацию своих клиентов и водителей из-за нескольких простых недостатков безопасности.
Недостатки, обнаруженные исследователем безопасности Итоном Звере, были обнаружены в API системы доставки, связанной с McDonald's India (West & South), принадлежащей Hardcastle Restaurants.
Звеар рассказал TechCrunch, что ошибки в системе доставки компании McDelivery означают, что любой может получить доступ, перенаправить, отследить заказы в реальном времени или сделать законные заказы за 0,01 доллара США, взаимодействуя с API компании, который приложения и веб-сайты используют для размещения заказы и отслеживание. Это связано с тем, что API не проверял должным образом, чтобы убедиться, что человеку, делающему запросы, разрешено это делать. Ошибки также открывали доступ к счетам-фактурам и давали возможность оставлять отзывы о заказах клиентов.
В результате уязвимостей были раскрыты полные имена, адреса электронной почты и номера телефонов клиентов McDonald's India (Запад и Юг) клиентов McDelivery, а также раскрыт доступ к номерам транспортных средств, изображениям профилей и отслеживанию в режиме реального времени местонахождения водителей сети ресторанов, доставляющих заказы.
Звеаре обнаружил уязвимости и сообщил о них в сеть ресторанов в июле. По словам исследователя, они были исправлены в конце сентября.
В McDonald's India сообщили TechCrunch, что «тщательная проверка систем и журналов» показала, что недостатки не привели к утечке данных о клиентах.
«Мы проводим регулярные проверки и оценки, чтобы постоянно усиливать наши меры безопасности, а также внедряем все необходимые улучшения, гарантируя актуальность и безопасность всех наших систем», — заявил Сулакшна Мукерджи, представитель McDonald's India (West & South), в заявление было отправлено по электронной почте TechCrunch.
McDonald's India не раскрыла количество клиентов, чья информация могла быть раскрыта из-за ошибок. Однако исследователь рассказал TechCrunch, что из-за этих недостатков открывается доступ к сотням миллионов заказов.
«Мобильное приложение McDelivery (West & South) использует те же API-интерфейсы, что и веб-сайт. В результате оба были уязвимы для одних и тех же эксплойтов», — рассказал исследователь TechCrunch.
Это не первый случай, когда McDonald's India использует конфиденциальные данные своих клиентов. В 2017 году из приложения доставки McDonald's India (West & South) произошла утечка личной информации около 2,2 миллиона клиентов.
