McDelivery(麥樂送)是一款麥當(dāng)勞推出的訂餐應(yīng)用。近日，印度McDelivery應(yīng)用泄露了220多萬麥當(dāng)勞用戶的個人數(shù)據(jù)。

安全公司Fallible的研究員稱，此次泄露的用戶數(shù)據(jù)包括：姓名、電子郵箱地址、電話號碼、家庭住址、家庭坐標(biāo)和社交個人資料鏈接。

[[213949]]

此次用戶數(shù)據(jù)泄露的根源在于McDelivery公開可訪問的API端點(用于獲取用戶詳細信息)未受保護。

API端點地址見：

專家分享的Curl請求的響應(yīng)樣本如下：

攻擊者可以利用該問題枚舉該應(yīng)用的所有用戶，并訪問相關(guān)數(shù)據(jù)。

McDelivery應(yīng)用未檢查通過API請求的用戶ID是否與登錄用戶為同一人。用戶ID由從1開始的純數(shù)字構(gòu)成，因此，攻擊者可以枚舉并檢索用戶的數(shù)據(jù)。

Fallible于2月7日向麥當(dāng)勞公司報告了該問題。

2月13日麥當(dāng)勞一名高級IT經(jīng)理于證實了該漏洞，并于上周修復(fù)了漏洞。

但Fallible的專家指出此次修復(fù)并不完整，端點仍在泄露數(shù)據(jù)。

補丁發(fā)布后，麥當(dāng)勞在Facebook頁面發(fā)布聲明宣布推出升級版本，并提示用戶盡管升級應(yīng)用。

麥當(dāng)勞在聲明中表示：

“我們在此通知用戶，我們的網(wǎng)站和應(yīng)用未存儲用戶的任何敏感財務(wù)數(shù)據(jù)，例如信用卡詳細信息、錢包密碼或銀行賬號信息。用戶可放心使用官網(wǎng)和應(yīng)用程序，我們會定期更新安全措施。為了預(yù)防，我們還敦促用戶在其設(shè)備上升級McDelivery應(yīng)用程序。”

小編提醒：為了個人數(shù)據(jù)安全，對于涉及到購物的APP，用戶都應(yīng)時常關(guān)注及時升級更新應(yīng)用版本。