McDelivery(麥樂送)是一款麥當勞推出的訂餐應用。近日,印度McDelivery應用泄露了220多萬麥當勞用戶的個人數(shù)據(jù)。
安全公司Fallible的研究員稱,此次泄露的用戶數(shù)據(jù)包括:姓名、電子郵箱地址、電話號碼、家庭住址、家庭坐標和社交個人資料鏈接。
此次用戶數(shù)據(jù)泄露的根源在于McDelivery公開可訪問的API端點(用于獲取用戶詳細信息)未受保護。
API端點地址見:
http://services.mcdelivery.co.in/ProcessUser.svc/GetUserProfile
專家分享的Curl請求的響應樣本如下:
攻擊者可以利用該問題枚舉該應用的所有用戶,并訪問相關(guān)數(shù)據(jù)。
McDelivery應用未檢查通過API請求的用戶ID是否與登錄用戶為同一人。用戶ID由從1開始的純數(shù)字構(gòu)成,因此,攻擊者可以枚舉并檢索用戶的數(shù)據(jù)。
Fallible于2月7日向麥當勞公司報告了該問題。
2月13日麥當勞一名高級IT經(jīng)理于證實了該漏洞,并于上周修復了漏洞。
但Fallible的專家指出此次修復并不完整,端點仍在泄露數(shù)據(jù)。
補丁發(fā)布后,麥當勞在Facebook頁面發(fā)布聲明宣布推出升級版本,并提示用戶盡管升級應用。
麥當勞在聲明中表示:
“我們在此通知用戶,我們的網(wǎng)站和應用未存儲用戶的任何敏感財務數(shù)據(jù),例如信用卡詳細信息、錢包密碼或銀行賬號信息。用戶可放心使用官網(wǎng)和應用程序,我們會定期更新安全措施。為了預防,我們還敦促用戶在其設(shè)備上升級McDelivery應用程序。”
京公網(wǎng)安備 11010502049343號