- Un investigador encontró una falla en la API de McDonald’s que les permitía secuestrar pedidos
- El error también filtró información confidencial.
- Esto se solucionó en septiembre de 2024, pero los usuarios aún deben tener cuidado
Un sistema de entrega de McDonald’s en India tenía fallas que exponían información confidencial de los clientes y permitían a las personas realizar pedidos fraudulentos, afirmaron los expertos.
El investigador de ciberseguridad Eaton Zveare de Traceable AI, quien encontró un error en la API del sistema de entrega en McDonald’s India (oeste y sur).
El sistema de entrega, que se cree que es propiedad de una empresa llamada Hardcastle Restaurants, tenía una vulnerabilidad que exponía los nombres, direcciones de correo electrónico y números de teléfono de los clientes de entrega. Para los conductores, reveló matrículas, fotografías de perfil y seguimiento en tiempo real de la ubicación de sus envíos. Además, el error permitió a las personas acceder, secuestrar, redirigir o rastrear pedidos en tiempo real. También pueden realizar pedidos desde tan solo $0,01.
No se registró ninguna violación de datos
Zveare encontró las vulnerabilidades en junio de 2024 y McDonald’s las parchó en septiembre. Aparentemente, ningún actor de amenazas encontró este error y ningún cliente quedó realmente expuesto.
McDonald’s India dijo que una “verificación exhaustiva de los sistemas y registros” mostró que las fallas no resultaron en una violación de los datos de sus clientes.
“Realizamos auditorías y evaluaciones periódicas para fortalecer continuamente nuestras medidas de seguridad e implementar las mejoras necesarias, garantizando que todos nuestros sistemas estén actualizados y sean seguros”, dijo Sulakshana Mukherjee, portavoz de McDonald’s India (oeste y sur), en una declaración enviada a TechCrunch.
Si bien no sabemos exactamente cuántas personas estaban en riesgo debido al error, TechCrunch Dijo que “cientos de millones” de comandos quedaron expuestos.
“La aplicación móvil McDelivery (West & South) utiliza las mismas API de back-end que el sitio web. Como resultado, ambos eran vulnerables a los mismos exploits”, dijo el investigador a la publicación.
Como el sistema de entrega del norte y el este de la India es diferente, estas partes del país no se ven afectadas y otros países también están a salvo.
