O McDonald’s Índia teria deixado os dados pessoais de seus clientes e motoristas expostos devido a uma falha de segurança. Segundo o relatório, as vulnerabilidades surgiram devido a bugs na interface de programação de aplicativos (API) do sistema de entrega da franquia de restaurantes. Todas as divisões oeste e sul do McDonald’s na Índia foram afetadas por essa falha de segurança que poderia permitir que qualquer pessoa acessasse e sequestrasse pedidos feitos no sistema. Os bugs foram detectados pela primeira vez em julho e corrigidos no last de setembro.
O McDonald’s Índia supostamente teve uma grande falha de segurança
De acordo com um TechCrunch relatórioas APIs do sistema de entrega usado pelas divisões Oeste e Sul do McDonald’s Índia, de propriedade da Hardcastle Eating places, foram afetadas por diversas falhas simples de segurança. Esses bugs foram descobertos pela primeira vez pelo pesquisador de segurança Eaton Zveare, que revelou os detalhes à publicação.
Devido às vulnerabilidades, qualquer pessoa com conhecimento poderia acessar, sequestrar, redirecionar ou rastrear pedidos em tempo actual. Os malfeitores também poderiam fazer pedidos legítimos por US$ 0,01 (cerca de Rs. 0,85) manipulando a API do sistema de entrega.
Notavelmente, o sistema de entrega é utilizado para fazer pedidos e rastrear. Ele contém nomes de clientes, números de telefone e endereços, bem como informações pessoais do pessoal de entrega, como números de veículos, fotos de perfil, dados de localização e muito mais.
O acesso aberto à API teria sido causado porque ela não monitorava adequadamente que apenas as pessoas autorizadas faziam pedidos e rastreavam as informações. As vulnerabilidades teriam deixado o sistema aberto a ataques e até permitiriam que um hacker em potencial acessasse faturas e enviasse suggestions sobre pedidos entregues.
Diz-se que o pesquisador de segurança relatou as vulnerabilidades ao McDonald’s Índia em julho, e elas foram corrigidas no last de setembro. A rede de restaurantes disse ao TechCrunch que uma verificação completa do sistema e dos dados de registro foi realizada e foi determinado que nenhuma violação de segurança ocorreu como resultado dos bugs da API. O McDonald’s Índia também afirmou que os dados dos clientes não foram acessados por ninguém fora da organização.
Embora a rede de restaurantes não tenha revelado o número de clientes cujas informações pessoais foram expostas como resultado das falhas de segurança, o pesquisador teria alegado que centenas de milhões de pedidos foram expostos.