Sistem pengiriman McDonald's besar di India mengungkap informasi pribadi pelanggan dan pengemudinya karena beberapa kelemahan keamanan sederhana, menurut TechCrunch secara eksklusif.
Kelemahan yang ditemukan oleh peneliti keamanan Eaton Zveare ditemukan pada API sistem pengiriman yang terkait dengannya McDonald's India (Barat & Selatan)yang dimiliki oleh Restoran Hardcastle.
Zveare mengatakan kepada TechCrunch bahwa bug dalam sistem pengiriman perusahaan, McDelivery, berarti siapa pun dapat mengakses, membajak, mengalihkan, atau melacak pesanan secara real-time, atau membuat pesanan sah seharga $0,01, dengan berinteraksi dengan API perusahaan, yang digunakan aplikasi dan situs web untuk menempatkan pesanan dan pelacakan. Hal ini karena API tidak memeriksa dengan benar untuk memastikan orang yang membuat permintaan diizinkan untuk melakukannya. Bug ini juga memungkinkan akses ke faktur dan memberikan kemampuan untuk mengirimkan umpan balik untuk pesanan pelanggan.
Kelemahan keamanan tersebut mengungkap nama lengkap pelanggan McDelivery, alamat email, dan nomor telepon pelanggan McDonald's India (Barat & Selatan), dan mengungkap akses ke nomor kendaraan, gambar profil, dan melacak lokasi real-time dari pengemudi jaringan restoran yang mengantarkan pesanan.
Zveare menemukan kerentanan tersebut dan melaporkannya ke jaringan restoran pada bulan Juli. Mereka diperbaiki pada akhir September, menurut peneliti.
McDonald's India mengatakan kepada TechCrunch bahwa “verifikasi menyeluruh terhadap sistem dan log” menunjukkan bahwa kelemahan tersebut tidak mengakibatkan pelanggaran data pelanggannya.
“Kami melakukan audit dan penilaian rutin untuk terus memperkuat langkah-langkah keamanan kami, dan menerapkan semua peningkatan yang diperlukan, memastikan semua sistem kami mutakhir dan aman,” Sulakshna Mukherjee, juru bicara McDonald's India (Barat & Selatan), mengatakan di pernyataan yang dikirim melalui email ke TechCrunch.
McDonald's India tidak mengungkapkan jumlah pelanggan yang informasinya mungkin terekspos oleh bug tersebut. Namun, peneliti mengatakan kepada TechCrunch bahwa kelemahan tersebut membuka akses ke ratusan juta pesanan.
“Aplikasi seluler McDelivery (Barat & Selatan) menggunakan API backend yang sama persis dengan situs web. Akibatnya, keduanya rentan terhadap eksploitasi yang sama,” kata peneliti tersebut kepada TechCrunch.
Ini bukan pertama kalinya McDonald's India mengeksploitasi data sensitif pelanggannya. Pada tahun 2017, aplikasi pengiriman McDonald's India (Barat & Selatan) dibocorkan informasi pribadi sekitar 2,2 juta pelanggan.
