印度麦当劳应用麦乐送泄露220多万用户数据

Talos  1804天前

1490145107854052495.jpg

McDelivery(麦乐送)是一款麦当劳推出的订餐应用。近日,印度McDelivery应用泄露了220多万麦当劳用户的个人数据。

安全公司Fallible的研究员称,此次泄露的用户数据包括:姓名、电子邮箱地址、电话号码、家庭住址、家庭坐标和社交个人资料链接。

此次用户数据泄露的根源在于McDelivery公开可访问的API端点(用于获取用户详细信息)未受保护。

API端点地址见:

http://services.mcdelivery.co.in/ProcessUser.svc/GetUserProfile

专家分享的Curl请求的响应样本如下:

攻击者可以利用该问题枚举该应用的所有用户,并访问相关数据。

McDelivery应用未检查通过API请求的用户ID是否与登录用户为同一人。用户ID由从1开始的纯数字构成,因此,攻击者可以枚举并检索用户的数据。

Fallible于2月7日向麦当劳公司报告了该问题。

2月13日麦当劳一名高级IT经理于证实了该漏洞,并于上周修复了漏洞。

但Fallible的专家指出此次修复并不完整,端点仍在泄露数据。

补丁发布后,麦当劳在Facebook页面发布声明宣布推出升级版本,并提示用户尽管升级应用。

麦当劳在声明中表示:

“我们在此通知用户,我们的网站和应用未存储用户的任何敏感财务数据,例如信用卡详细信息、钱包密码或银行账号信息。用户可放心使用官网和应用程序,我们会定期更新安全措施。为了预防,我们还敦促用户在其设备上升级McDelivery应用程序。”


来源:E安全

本文版权归原作者所有,如有侵权请联系我们及时删除

最新评论

昵称
邮箱
提交评论