安全研究人員發現,印度麥當勞餐廳送餐系統 McDelivery 存在嚴重漏洞,導致顧客及外送員的個人資料外洩,甚至允許惡意用戶以 1.6 港元下單食品或劫持他人訂單。相關問題自 2024 年 7 月被舉報,雖於 9 月修正,但影響範圍驚人,甚至涉及數億筆訂單資料。
Traceable AI 的資深安全分析員 Eaton Zveare 發現,McDelivery 使用的 API 存在多項「Broken Object Level Authorization」(BOLA)漏洞。這些漏洞容許未經授權的用戶存取他人訂單資料、劫持訂單並更改配送地址、實時追蹤外送員位置、查看車輛號牌及外送員個人資料,而最嚴重的情況就是能穿過漏洞的人可以用最低約 1.6 港元的價格下單。
漏洞原因在於 McDelivery 的 API 並未正確驗證請求是否具授權資格。而網站與手機應用程式均採用相同後端 API,令兩者對相同的漏洞毫無防範能力。Zveare 在博客中指出,這些問題導致顧客全名、電郵地址、電話號碼,以及外送員的實時位置和照片等資料處於未受保護狀態。
Zveare 於 2024 年 7 月向 McDonald's India 報告漏洞,相關技術團隊於 9 月底完成修正。McDonald's India 發言人 Sulakshna Mukherjee 表示,公司定期進行系統安全審核,並已採取必要措施以確保系統安全。不過 McDonald's 並未透露受影響顧客的確切數量。Mukherjee 強調,經過詳細的系統與日誌驗證後,未有證據顯示資料遭不當使用。但 Zveare 卻聲稱,透過漏洞可接觸數億筆訂單資訊。這一說法引發外界對安全防護成效的質疑。
資料來源:TechCrunch
• 不想錯過新科技 ? 請 Follow unwire.hk FB 專頁http://facebook.com/unwirehk/
• 要入手生活科技潮物 即上 unwire store
https://store.unwire.hk/