- Een onderzoeker ontdekte een fout in een McDonalds-API waardoor ze bestellingen konden kapen
- De bug lekte ook gevoelige informatie
- Het probleem is in september 2024 opgelost, maar gebruikers moeten nog steeds voorzichtig zijn
Een bezorgsysteem voor McDonalds in India vertoonde gebreken op een manier die aan het licht kwam gevoelige klantinformatieen stelde mensen in staat frauduleuze bestellingen te doen, beweren experts.
Cybersecurity-onderzoeker Eaton Zveare van Traceable AI, die een bug vond in de API van het bezorgsysteem in McDonalds India (West & Zuid).
Het bezorgsysteem, dat blijkbaar eigendom is van een bedrijf genaamd Hardcastle Restaurants, bevatte een kwetsbaarheid waardoor de namen, e-mailadressen en telefoonnummers van bezorgklanten zichtbaar werden. Voor de chauffeurs werden voertuignummers en profielfoto’s zichtbaar en werd de realtime locatie van hun leveringen gevolgd. Bovendien zorgde de bug ervoor dat mensen in realtime bestellingen konden openen, kapen, omleiden of volgen. Ze kunnen ook bestellingen plaatsen voor slechts $ 0,01.
Er is geen datalek geregistreerd
Zveare ontdekte de kwetsbaarheden in juni 2024 en McDonalds repareerde deze in september. Naar verluidt zijn geen enkele bedreigingsactoren op deze bug gestuit en zijn er geen klanten daadwerkelijk blootgesteld.
McDonald’s India zei dat uit een “grondige verificatie van systemen en logboeken” bleek dat de fouten niet resulteerden in een inbreuk op de klantgegevens.
“We voeren regelmatig audits en beoordelingen uit om onze veiligheidsmaatregelen voortdurend te versterken, en hebben alle noodzakelijke verbeteringen geïmplementeerd, zodat al onze systemen up-to-date en veilig zijn”, zei Sulakshna Mukherjee, een woordvoerder van McDonald’s India (West & South), in een verklaring per e-mail naar TechCrunch.
Hoewel we niet precies weten hoeveel mensen door de bug in gevaar zijn gebracht, TechCrunch kreeg te horen dat “honderden miljoenen” orders openbaar waren gemaakt.
“De mobiele app McDelivery (West & South) gebruikt exact dezelfde back-end API’s als de website. Als gevolg hiervan waren beide kwetsbaar voor dezelfde exploits”, vertelde de onderzoeker aan de publicatie.
Omdat het bezorgsysteem voor India Noord en Oost anders is, zijn deze delen van het land niet getroffen en zijn andere landen ook veilig.
