McDonald's India Según se informa, dejó expuestos los datos personales de sus clientes y conductores debido a una vulnerabilidad de seguridad. Según el informe, las vulnerabilidades surgieron debido a errores en la interfaz de programación de aplicaciones (API) del sistema de entrega de la franquicia del restaurante. Se dice que todas las divisiones Oeste y Sur de McDonald's en India se han visto afectadas por esta vulnerabilidad que podría permitir a cualquiera acceder y secuestrar los pedidos realizados en el sistema. Según los informes, los errores se descubrieron por primera vez en julio y se solucionaron a finales de septiembre.
Se dice que McDonald's India sufre una falla de seguridad importante
Según TechCrunch un informelas interfaces de programación de aplicaciones (API) para el sistema de entrega utilizado por las divisiones occidental y sur de McDonald's India, propiedad de Hardcastle Restaurants, se vieron afectadas por varios fallos de seguridad menores. Estos errores fueron descubiertos por primera vez por el investigador de seguridad Eaton Zephyr, quien reveló los detalles a la publicación.
Debido a las vulnerabilidades, cualquier persona con el conocimiento podría acceder, secuestrar, redirigir o rastrear comandos en tiempo real. Según se informa, los delincuentes también pueden realizar pedidos legítimos de 0,01 dólares (alrededor de 0,85 rupias lakh) manipulando la interfaz de programación de aplicaciones (API) del sistema de entrega.
Vale la pena señalar que el sistema de entrega se utiliza para realizar y rastrear pedidos. Contiene los nombres, números de teléfono y direcciones de los clientes, así como información personal del personal de entrega, como números de vehículos, fotografías de perfil, datos de ubicación y más.
Se informó que el motivo del acceso abierto a la API se debió a que solo las personas autorizadas fueron monitoreadas adecuadamente para realizar solicitudes y rastrear información. Según se informa, las vulnerabilidades dejaron el sistema abierto a ataques e incluso permitirían a un hacker potencial acceder a las facturas y enviar comentarios sobre los pedidos entregados.
Se dice que el investigador de seguridad informó sobre las vulnerabilidades a McDonald's India en julio y se solucionaron a finales de septiembre. La cadena de restaurantes le dijo a TechCrunch que se realizó una verificación exhaustiva del sistema y los datos de registro, y se determinó que no se produjo ninguna violación de seguridad como resultado de los errores de API. Según se informa, McDonald's India también ha confirmado que nadie ajeno a la organización accedió a los datos de los clientes.
Si bien la cadena de restaurantes no reveló la cantidad de clientes cuya información personal quedó expuesta como resultado de las vulnerabilidades de seguridad, el investigador afirmó que cientos de millones de pedidos estuvieron expuestos.