Sistem pengiriman McDonald's besar di India mengungkap informasi pribadi pelanggan dan pengemudinya karena beberapa kelemahan keamanan sederhana, menurut TechCrunch secara eksklusif.
Kelemahan tersebut, ditemukan oleh peneliti keamanan Eaton Zveare, ditemukan pada API sistem pengiriman yang terkait dengan McDonald's India (Barat & Selatan), yang dimiliki oleh Hardcastle Restaurants.
Zveare mengatakan kepada TechCrunch bahwa bug dalam sistem pengiriman perusahaan, McDelivery, berarti siapa pun dapat mengakses, membajak, mengalihkan, atau melacak pesanan secara real-time, atau membuat pesanan sah seharga $0,01, dengan berinteraksi dengan API perusahaan, yang digunakan aplikasi dan situs web untuk menempatkan pesanan dan pelacakan. Hal ini karena API tidak memeriksa dengan benar untuk memastikan orang yang membuat permintaan diizinkan untuk melakukannya. Bug ini juga memungkinkan akses ke faktur dan memberikan kemampuan untuk mengirimkan umpan balik untuk pesanan pelanggan.
Kelemahan keamanan mengungkap nama lengkap pelanggan McDelivery, alamat email, dan nomor telepon pelanggan McDonald's India (Barat & Selatan), dan mengungkap akses ke nomor kendaraan, gambar profil, dan melacak lokasi real-time dari pengemudi jaringan restoran yang mengantarkan pesanan.
Zveare menemukan kerentanan tersebut dan melaporkannya ke jaringan restoran pada bulan Juli. Mereka diperbaiki pada akhir September, menurut peneliti.
McDonald's India mengatakan kepada TechCrunch bahwa “verifikasi menyeluruh terhadap sistem dan log” menunjukkan…
