McDonald’s Hindistan’ın bir güvenlik kusuru nedeniyle müşterilerinin ve sürücülerinin kişisel verilerini açıkta bıraktığı bildirildi. Rapora göre güvenlik açıkları, restoran franchise’ının dağıtım sisteminin uygulama programlama arayüzündeki (API) hatalar nedeniyle ortaya çıktı. McDonald’s’ın Hindistan Batı ve Güney bölümlerinin tamamının, herkesin sisteme erişmesine ve verilen siparişleri kaçırmasına olanak tanıyan bu güvenlik kusurundan etkilendiği söyleniyor. Hataların ilk olarak Temmuz ayında tespit edildiği ve Eylül ayı sonlarında giderildiği bildirildi.
McDonald’s Hindistan’ın Büyük Bir Güvenlik Kusuru Olduğu Bildirildi
TechCrunch’a göre raporHardcastle Restaurants’ın sahibi olduğu McDonald’s Hindistan’ın Batı ve Güney bölümleri tarafından kullanılan dağıtım sisteminin API’leri, birkaç basit güvenlik kusurundan etkileniyordu. Bu hatalar ilk olarak yayına ayrıntıları açıklayan güvenlik araştırmacısı Eaton Zveare tarafından keşfedildi.
Güvenlik açıkları nedeniyle, bilgisi olan herkesin siparişlere gerçek zamanlı olarak erişebileceği, bunları ele geçirebileceği, yönlendirebileceği veya takip edebileceği bildirildi. Kötü aktörlerin, dağıtım sisteminin API’sini manipüle ederek 0,01 ABD Doları (kabaca 0,85 Rupi) tutarında meşru siparişler de verebileceği bildirildi.
Özellikle teslimat sistemi sipariş vermek ve takip etmek için kullanılır. Müşteri adlarını, telefon numaralarını ve adreslerinin yanı sıra teslimat personelinin araç numaraları, profil resimleri, konum verileri ve daha fazlası gibi kişisel bilgilerini içerir.
API’ye açık erişimin, yalnızca yetkili kişilerin sipariş vermesi ve bilgileri takip etmesinin gerektiği gibi takip edilmemesinden kaynaklandığı bildirildi. Güvenlik açıklarının sistemi bir saldırıya açık bıraktığı ve hatta potansiyel bir bilgisayar korsanının faturalara erişmesine ve teslim edilen siparişler için geri bildirim göndermesine olanak tanıdığı bildirildi.
Güvenlik araştırmacısının güvenlik açıklarını Temmuz ayında McDonald’s Hindistan’a bildirdiği ve bu açıkların Eylül ayı sonlarında giderildiği söyleniyor. Restoran zinciri TechCrunch’a, sistem ve günlük verilerinin kapsamlı bir şekilde doğrulandığını ve API hataları nedeniyle herhangi bir güvenlik ihlali meydana gelmediğinin belirlendiğini söyledi. McDonald’s Hindistan’ın ayrıca müşteri verilerine kuruluş dışından hiç kimse tarafından erişilmediğini ileri sürdüğü bildirildi.
Restoran zinciri, güvenlik kusurları nedeniyle kişisel bilgileri açığa çıkan müşterilerin sayısını açıklamazken, araştırmacının yüz milyonlarca siparişin açığa çıktığını iddia ettiği bildirildi.
