安全研究人员发现,印度麦当劳餐厅送餐系统McDelivery存在严重漏洞,导致顾客及外卖员的个人数据外流,甚至允许恶意用户以1.6港元下单食品或劫持他人订单。相关问题自2024年7月被举报,虽于9月修正,但影响范围惊人,甚至涉及数亿笔订单数据。
Traceable AI的资深安全分析员Eaton Zveare发现,McDelivery使用的API存在多项“Broken Object Level Authorization”(BOLA)漏洞。这些漏洞允许未经授权的用户访问他人订单数据、劫持订单并更改配送地址、实时关注外卖员位置、查看车辆号牌及外卖员个人数据,而最严重的情况就是能穿过漏洞的人可以用最低约1.6港元的价格下单。
漏洞原因在于McDelivery的API并未正确验证请求是否具授权资格。而网站与手机应用程序均采用相同后端API,令两者对相同的漏洞毫无防范能力。Zveare在博客中指出,这些问题导致顾客全名、电邮地址、电话号码,以及外卖员的实时位置和照片等数据处于未受保护状态。
Zveare于2024年7月向McDonald's India报告漏洞,相关技术团队于9月底完成修正。McDonald's India发言人Sulakshna Mukherjee表示,公司定期进行系统安全审核,并已采取必要措施以确保系统安全。不过McDonald's并未透露受影响顾客的确切数量。Mukherjee强调,经过详细的系统与日志验证后,未有证据显示数据遭不当使用。但Zveare却声称,通过漏洞可接触数亿笔订单资讯。这一说法引发外界对安全防护成效的质疑。
数据源:TechCrunch
