كشفت الأخطاء في نظام التوصيل الرئيسي لشركة ماكدونالدز في الهند عن بيانات حساسة للعملاء

كشف نظام توصيل رئيسي لشركة ماكدونالدز في الهند عن المعلومات الشخصية لعملائه وسائقيه بسبب العديد من العيوب الأمنية البسيطة، حسبما علم موقع TechCrunch حصريًا.

وتم العثور على العيوب، التي اكتشفها الباحث الأمني ​​إيتون زفير، في واجهات برمجة التطبيقات (APIs) لنظام التوصيل المرتبط بشركة ماكدونالدز الهند (غرب وجنوب)، المملوكة لشركة مطاعم هاردكاسل.

أخبر Zveare موقع TechCrunch أن الأخطاء الموجودة في نظام التسليم الخاص بالشركة، McDelivery، تعني أنه يمكن لأي شخص الوصول إلى الطلبات أو اختطافها أو إعادة توجيهها أو تتبعها في الوقت الفعلي، أو تقديم طلبات مشروعة بمبلغ 0.01 دولار، من خلال التفاعل مع واجهة برمجة التطبيقات الخاصة بالشركة، والتي تستخدمها التطبيقات ومواقع الويب لوضعها. الطلبات والتتبع. وذلك لأن واجهة برمجة التطبيقات (API) لم تكن تتحقق بشكل صحيح للتأكد من السماح للشخص الذي يقدم الطلبات بإجراء ذلك. وسمحت الأخطاء أيضًا بالوصول إلى الفواتير ووفرت القدرة على إرسال تعليقات لطلبات العملاء.

كشفت العيوب الأمنية عن الأسماء الكاملة لعملاء McDelivery، وعناوين البريد الإلكتروني، وأرقام هواتف عملاء McDonald’s India (الغرب والجنوب)، وكشفت إمكانية الوصول إلى أرقام المركبات، وصور الملفات الشخصية، وتتبع الموقع في الوقت الفعلي لسائقي سلسلة المطاعم الذين يقومون بتوصيل الطلبات.

عثر Zveare على نقاط الضعف وأبلغ سلسلة المطاعم بها في يوليو. تم إصلاحها في أواخر سبتمبر، بحسب الباحث.

وقالت شركة ماكدونالدز الهند لـ TechCrunch إن “التحقق الشامل من الأنظمة والسجلات” أظهر أن العيوب لم تؤدي إلى انتهاك بيانات عملائها.

وقال سولاكشنا موخيرجي، المتحدث الرسمي باسم ماكدونالدز الهند (غرب وجنوب الهند): “إننا نجري عمليات تدقيق وتقييمات منتظمة لتعزيز إجراءاتنا الأمنية بشكل مستمر، ونقوم بتنفيذ جميع التحسينات اللازمة، مما يضمن أن جميع أنظمتنا محدثة وآمنة”. بيان أرسل عبر البريد الإلكتروني إلى TechCrunch.

ولم تكشف شركة ماكدونالدز الهند عن عدد العملاء الذين قد تكون معلوماتهم قد كشفت عن طريق الأخطاء. ومع ذلك، قال الباحث لموقع TechCrunch إن العيوب كشفت عن إمكانية الوصول إلى مئات الملايين من الطلبات.

“يستخدم تطبيق الهاتف المحمول McDelivery (West & South) نفس واجهات برمجة التطبيقات الخلفية تمامًا مثل موقع الويب. ونتيجة لذلك، كان كلاهما عرضة لنفس عمليات الاستغلال.

وهذه ليست المرة الأولى التي تستغل فيها شركة ماكدونالدز الهند البيانات الحساسة لعملائها. وفي عام 2017، سرب تطبيق التوصيل التابع لشركة ماكدونالدز الهند (الغرب والجنوب) المعلومات الشخصية لحوالي 2.2 مليون عميل.