首页>安全资讯>印度麦当劳应用McDelivery(麦乐送)泄露220多万用户数据

印度麦当劳应用McDelivery(麦乐送)泄露220多万用户数据

McDelivery(麦乐送)是一款麦当劳推出的订餐应用。近日,印度McDelivery应用泄露了220多万麦当劳用户的个人数据。安全公司Fallible的研究员称,此次泄露的用户数据包括:姓名、电子邮箱地址、电话号码、家庭住址、家庭坐标和社交个人资料链接。

此次用户数据泄露的根源在于McDelivery公开可访问的API端点(用于获取用户详细信息)未受保护。

专家分享的Curl请求的响应样本如下:

攻击者可以利用该问题枚举该应用的所有用户,并访问相关数据。

McDelivery应用未检查通过API请求的用户ID是否与登录用户为同一人。用户ID由从1开始的纯数字构成,因此,攻击者可以枚举并检索用户的数据。

Fallible于2月7日向麦当劳公司报告了该问题。

2月13日麦当劳一名高级IT经理于证实了该漏洞,并于上周修复了漏洞。

但Fallible的专家指出此次修复并不完整,端点仍在泄露数据。

补丁发布后,麦当劳在Facebook页面发布声明宣布推出升级版本,并提示用户尽管升级应用。

麦当劳在声明中表示:

“我们在此通知用户,我们的网站和应用未存储用户的任何敏感财务数据,例如信用卡详细信息、钱包密码或银行账号信息。用户可放心使用官网和应用程序,我们会定期更新安全措施。为了预防,我们还敦促用户在其设备上升级McDelivery应用程序。”

相关资讯:

麦当劳官网用户密码被盗,请慎用“记住密码”功能

来自荷兰的独立软件工程师 Tijme Gommers 发现,麦当劳官网(McDonalds.com)上存在一个仍然活跃的漏洞,可被攻击者利用来获取用户敏感信息。