印度麦当劳应用麦乐送泄露220多万用户数据

McDelivery（麦乐送）是一款麦当劳推出的订餐应用。近日，印度McDelivery应用泄露了220多万麦当劳用户的个人数据。

印度麦当劳应用McDelivery泄露220多万用户数据 - E安全

安全公司Fallible的研究员称，此次泄露的用户数据包括：姓名、电子邮箱地址、电话号码、家庭住址、家庭坐标和社交个人资料链接。

此次用户数据泄露的根源在于McDelivery公开可访问的API端点（用于获取用户详细信息）未受保护。

API端点地址见：

http://services.mcdelivery.co.in/ProcessUser.svc/GetUserProfile

专家分享的Curl请求的响应样本如下：

印度麦当劳应用McDelivery泄露220多万用户数据 -E安全

攻击者可以利用该问题枚举该应用的所有用户，并访问相关数据。

McDelivery应用未检查通过API请求的用户ID是否与登录用户为同一人。用户ID由从1开始的纯数字构成，因此，攻击者可以枚举并检索用户的数据。

Fallible于2月7日向麦当劳公司报告了该问题。

2月13日麦当劳一名高级IT经理于证实了该漏洞，并于上周修复了漏洞。

但Fallible的专家指出此次修复并不完整，端点仍在泄露数据。

补丁发布后，麦当劳在Facebook页面发布声明宣布推出升级版本，并提示用户尽管升级应用。

麦当劳在声明中表示：

“我们在此通知用户，我们的网站和应用未存储用户的任何敏感财务数据，例如信用卡详细信息、钱包密码或银行账号信息。用户可放心使用官网和应用程序，我们会定期更新安全措施。为了预防，我们还敦促用户在其设备上升级McDelivery应用程序。”

本文转自d1net（转载）

10月业务安全月报 | 美国将奇虎360和知道创宇列入黑名单；丰田泄露30万用户信息；苹果曝严重漏洞 导语：随着数字化的深入普及，业务愈加开放互联。企业的关键数据、用户信息、基础设施、运营过程等均处于边界模糊且日益开放的环境中，涉及利益流和高附加值的业务面临多样的安全隐患，随时可能遭遇损失，进而影响企业运营和发展。
苹果中国员工私下出售iPhone用户敏感信息，这个会被判几年？ 本文讲的是苹果中国员工私下出售iPhone用户敏感信息，这个会被判几年？，据新华社消息，近日浙江苍南警方破获一起非法获取计算机信息系统数据、侵犯公民个人信息案，抓获嫌疑人22名，其中有苹果国内直销公司、外包公司员工20人。