McDelivery(麦乐送)是一款麦当劳推出的订餐应用。近日,印度McDelivery应用泄露了220多万麦当劳用户的个人数据。
安全公司Fallible的研究员称,此次泄露的用户数据包括:姓名、电子邮箱地址、电话号码、家庭住址、家庭坐标和社交个人资料链接。
此次用户数据泄露的根源在于McDelivery公开可访问的API端点(用于获取用户详细信息)未受保护。
API端点地址见:
专家分享的Curl请求的响应样本如下:
攻击者可以利用该问题枚举该应用的所有用户,并访问相关数据。
McDelivery应用未检查通过API请求的用户ID是否与登录用户为同一人。用户ID由从1开始的纯数字构成,因此,攻击者可以枚举并检索用户的数据。
Fallible于2月7日向麦当劳公司报告了该问题。
2月13日麦当劳一名高级IT经理于证实了该漏洞,并于上周修复了漏洞。
但Fallible的专家指出此次修复并不完整,端点仍在泄露数据。
补丁发布后,麦当劳在Facebook页面发布声明宣布推出升级版本,并提示用户尽管升级应用。
麦当劳在声明中表示:
“我们在此通知用户,我们的网站和应用未存储用户的任何敏感财务数据,例如信用卡详细信息、钱包密码或银行账号信息。用户可放心使用官网和应用程序,我们会定期更新安全措施。为了预防,我们还敦促用户在其设备上升级McDelivery应用程序。”
小编提醒:为了个人数据安全,对于涉及到购物的APP,用户都应时常关注及时升级更新应用版本。
