Se descubrieron varios errores de seguridad simples en un importante sistema de entrega de McDonald's en India, que expusieron la información personal de sus clientes y conductores, según informó en exclusiva TechCrunch.
Los errores, descubiertos por el investigador de seguridad de Traceable AI, Eaton Zveare, se encontraron en las API del sistema de entrega asociado con McDonald's India (West & South), que es propiedad de Hardcastle Restaurants.
Zveare le dijo exclusivamente a TechCrunch que los errores en el sistema de entrega de la compañía, McDelivery, significaban que cualquiera podía acceder, secuestrar, redirigir, rastrear el pedido en tiempo real o realizar pedidos legítimos por $0.01, interactuando con la API de la empresa, que las aplicaciones y sitios web utilizan para realizar pedidos y hacer seguimiento. Esto se debe a que la API no estaba verificando correctamente si la persona que realizaba las solicitudes estaba autorizada para hacerlas. Los errores también permitieron acceder a facturas y proporcionaron la capacidad de enviar comentarios para pedidos de clientes.
Las fallas de seguridad expusieron los nombres completos de los clientes de McDelivery, las direcciones de correo electrónico y los números de teléfono de los clientes de McDonald's India (West & South), y expusieron el acceso a los números de vehículo, las fotos de perfil y seguían la ubicación en tiempo real de los conductores de la cadena de restaurantes que entregaban pedidos.
En una publicación de blog publicada desde entonces, Zveare encontró las vulnerabilidades y las informó a la cadena de restaurantes en julio. Fueron corregidos a fines de septiembre, según el investigador.
McDonald's India le dijo a TechCrunch que una 'verificación exhaustiva de sistemas y registros' mostró que los errores no resultaron en una violación de los datos de sus clientes.
'Realizamos auditorías y evaluaciones periódicas para fortalecer continuamente nuestras medidas de seguridad, y tenemos todas las mejoras necesarias implementadas, asegurando que todos nuestros sistemas estén actualizados y seguros', dijo en un comunicado enviado por correo electrónico a TechCrunch Sulakshna Mukherjee, un portavoz de McDonald's India (West & South).
McDonald's India no reveló la cantidad de clientes cuya información podría haber sido expuesta por los errores. Sin embargo, el investigador le dijo a TechCrunch que las fallas expusieron el acceso a cientos de millones de pedidos.
'La aplicación móvil McDelivery (West & South) utiliza las mismas API de back-end exactas que el sitio web. Como resultado, ambos eran vulnerables a los mismos exploits', dijo el investigador a TechCrunch.
Esta no es la primera vez que McDonald's India expone los datos sensibles de sus clientes. En 2017, la aplicación de entrega de McDonald's India (West & South) filtró la información personal de alrededor de 2.2 millones de clientes.
