Um importante sistema de entrega do McDonald’s na Índia expôs as informações pessoais de seus clientes e motoristas devido a várias falhas simples de segurança, descobriu o TechCrunch com exclusividade.
As falhas, descobertas pelo pesquisador de segurança Eaton Zveare, foram encontradas nas APIs do sistema de entrega associadas ao McDonald’s Índia (oeste e sul)que é propriedade da Hardcastle Restaurants.
Zveare disse ao TechCrunch que bugs no sistema de entrega da empresa, McDelivery, significavam que qualquer pessoa poderia acessar, sequestrar, redirecionar ou rastrear pedidos em tempo real, ou fazer pedidos legítimos por US$ 0,01, interagindo com a API da empresa, que aplicativos e sites usam para fazer pedidos. . pedidos e rastreamento. Isso ocorre porque a API não estava verificando corretamente se a pessoa que fez a solicitação tinha permissão para fazer a solicitação. Os bugs também permitiram o acesso a faturas e forneceram a capacidade de enviar feedback sobre os pedidos dos clientes.
Falhas de segurança expuseram nomes completos de clientes do McDelivery, endereços de e-mail e números de telefone de clientes do McDonald’s Índia (oeste e sul), e expuseram o acesso a números de veículos, fotos de perfil e rastreamento da localização em tempo real dos motoristas da rede de restaurantes que entregavam os pedidos.
Zveare encontrou as vulnerabilidades e as relatou à rede de restaurantes em julho. Segundo o pesquisador, eles foram resolvidos no final de setembro.
O McDonald’s Índia disse ao TechCrunch que uma “verificação completa dos sistemas e registros” mostrou que as falhas não resultaram na violação dos dados de seus clientes.
“Realizamos auditorias e avaliações regulares para fortalecer continuamente nossas medidas de segurança e implementar todas as melhorias necessárias, garantindo que todos os nossos sistemas estejam atualizados e seguros”, disse Sulakshna Mukherjee, porta-voz do McDonald’s Índia (Oeste e Sul), em comunicado enviado via e-mail para TechCrunch.
O McDonald’s Índia não divulgou o número de clientes cujas informações podem ter sido expostas pelos erros. No entanto, o pesquisador disse ao TechCrunch que as falhas expuseram o acesso a centenas de milhões de pedidos.
“O aplicativo móvel McDelivery (West & South) usa exatamente as mesmas APIs de back-end do site. Como resultado, ambos ficaram vulneráveis às mesmas explorações”, disse o pesquisador ao TechCrunch.
Esta não é a primeira vez que o McDonald’s Índia explora dados confidenciais dos seus clientes. Em 2017, o aplicativo de entrega do McDonald’s Índia (Oeste e Sul) filtrado as informações pessoais de cerca de 2,2 milhões de clientes.
