Um grande sistema de entrega da McDonald's na Índia expôs informações pessoais de seus clientes e motoristas devido a várias falhas simples de segurança, TechCrunch descobriu exclusivamente.
As falhas, descobertas pelo pesquisador de segurança da Traceable AI, Eaton Zveare, foram encontradas nas APIs do sistema de entrega associado à McDonald's India (West & South), que é de propriedade da Hardcastle Restaurants.
Zveare disse exclusivamente ao TechCrunch que bugs no sistema de entrega da empresa, McDelivery, significavam que qualquer pessoa poderia acessar, sequestrar, redirecionar ou rastrear em tempo real pedidos, ou fazer pedidos legítimos por $0.01, interagindo com a API da empresa, que aplicativos e sites usam para fazer pedidos e rastrear. Isso ocorreu porque a API não estava verificando corretamente se a pessoa que estava fazendo as solicitações tinha permissão para fazê-las. As falhas também permitiam o acesso às faturas e forneciam a capacidade de enviar feedback para pedidos de clientes.
As falhas de segurança expuseram nomes completos, endereços de e-mail e números de telefone dos clientes da McDonald's India (West & South), e expuseram o acesso aos números de veículo, fotos de perfil e rastreamento da localização em tempo real dos motoristas da rede de restaurantes que entregam pedidos.
Em um post de blog publicado desde então, Zveare descobriu as vulnerabilidades e as relatou à rede de restaurantes em julho. Elas foram corrigidas no final de setembro, de acordo com o pesquisador.
A McDonald's India disse ao TechCrunch que uma 'verificação cuidadosa dos sistemas e logs' mostrou que as falhas não resultaram em violação dos dados de seus clientes.
'Realizamos auditorias e avaliações regulares para fortalecer continuamente nossas medidas de segurança e todas as melhorias necessárias implementadas, garantindo que todos os nossos sistemas estejam atualizados e seguros', disse Sulakshna Mukherjee, porta-voz da McDonald's India (West & South), em declaração enviada por e-mail ao TechCrunch.
A McDonald's India não divulgou o número de clientes cujas informações podem ter sido expostas pelos bugs. No entanto, o pesquisador disse ao TechCrunch que as falhas expuseram acesso a centenas de milhões de pedidos.
'O aplicativo móvel McDelivery (West & South) usa as mesmas APIs de back-end exatas que o site. Como resultado, ambos foram vulneráveis aos mesmos exploits', disse o pesquisador ao TechCrunch.
Esta não é a primeira vez que a McDonald's India expõe dados sensíveis de seus clientes. Em 2017, o aplicativo de entrega da McDonald's India (West & South) vazou informações pessoais de cerca de 2,2 milhões de clientes.
