McDelivery(麥樂(lè)送)是一款麥當(dāng)勞推出的訂餐應(yīng)用。近日，印度McDelivery應(yīng)用泄露了220多萬(wàn)麥當(dāng)勞用戶的個(gè)人數(shù)據(jù)。

安全公司Fallible的研究員稱，此次泄露的用戶數(shù)據(jù)包括：姓名、電子郵箱地址、電話號(hào)碼、家庭住址、家庭坐標(biāo)和社交個(gè)人資料鏈接。

[[213949]]

此次用戶數(shù)據(jù)泄露的根源在于McDelivery公開(kāi)可訪問(wèn)的API端點(diǎn)(用于獲取用戶詳細(xì)信息)未受保護(hù)。

API端點(diǎn)地址見(jiàn)：

專家分享的Curl請(qǐng)求的響應(yīng)樣本如下：

攻擊者可以利用該問(wèn)題枚舉該應(yīng)用的所有用戶，并訪問(wèn)相關(guān)數(shù)據(jù)。

McDelivery應(yīng)用未檢查通過(guò)API請(qǐng)求的用戶ID是否與登錄用戶為同一人。用戶ID由從1開(kāi)始的純數(shù)字構(gòu)成，因此，攻擊者可以枚舉并檢索用戶的數(shù)據(jù)。

Fallible于2月7日向麥當(dāng)勞公司報(bào)告了該問(wèn)題。

2月13日麥當(dāng)勞一名高級(jí)IT經(jīng)理于證實(shí)了該漏洞，并于上周修復(fù)了漏洞。

但Fallible的專家指出此次修復(fù)并不完整，端點(diǎn)仍在泄露數(shù)據(jù)。

補(bǔ)丁發(fā)布后，麥當(dāng)勞在Facebook頁(yè)面發(fā)布聲明宣布推出升級(jí)版本，并提示用戶盡管升級(jí)應(yīng)用。

麥當(dāng)勞在聲明中表示：

“我們?cè)诖送ㄖ脩簦覀兊木W(wǎng)站和應(yīng)用未存儲(chǔ)用戶的任何敏感財(cái)務(wù)數(shù)據(jù)，例如信用卡詳細(xì)信息、錢(qián)包密碼或銀行賬號(hào)信息。用戶可放心使用官網(wǎng)和應(yīng)用程序，我們會(huì)定期更新安全措施。為了預(yù)防，我們還敦促用戶在其設(shè)備上升級(jí)McDelivery應(yīng)用程序。”

小編提醒：為了個(gè)人數(shù)據(jù)安全，對(duì)于涉及到購(gòu)物的APP，用戶都應(yīng)時(shí)常關(guān)注及時(shí)升級(jí)更新應(yīng)用版本。