McDelivery(麥樂送)是一款麥當勞推出的訂餐應用。近日，印度McDelivery應用泄露了220多萬麥當勞用戶的個人數據。

安全公司Fallible的研究員稱，此次泄露的用戶數據包括：姓名、電子郵箱地址、電話號碼、家庭住址、家庭坐標和社交個人資料鏈接。

[[213949]]

此次用戶數據泄露的根源在于McDelivery公開可訪問的API端點(用于獲取用戶詳細信息)未受保護。

API端點地址見：

專家分享的Curl請求的響應樣本如下：

攻擊者可以利用該問題枚舉該應用的所有用戶，并訪問相關數據。

McDelivery應用未檢查通過API請求的用戶ID是否與登錄用戶為同一人。用戶ID由從1開始的純數字構成，因此，攻擊者可以枚舉并檢索用戶的數據。

Fallible于2月7日向麥當勞公司報告了該問題。

2月13日麥當勞一名高級IT經理于證實了該漏洞，并于上周修復了漏洞。

但Fallible的專家指出此次修復并不完整，端點仍在泄露數據。

補丁發布后，麥當勞在Facebook頁面發布聲明宣布推出升級版本，并提示用戶盡管升級應用。

麥當勞在聲明中表示：

“我們在此通知用戶，我們的網站和應用未存儲用戶的任何敏感財務數據，例如信用卡詳細信息、錢包密碼或銀行賬號信息。用戶可放心使用官網和應用程序，我們會定期更新安全措施。為了預防，我們還敦促用戶在其設備上升級McDelivery應用程序。”

小編提醒：為了個人數據安全，對于涉及到購物的APP，用戶都應時常關注及時升級更新應用版本。