मैकडॉनल्ड्स इंडिया कथित तौर पर सुरक्षा खामी के कारण अपने ग्राहकों और ड्राइवरों का निजी डेटा उजागर हो गया। रिपोर्ट के अनुसार, रेस्तरां फ्रेंचाइजी के डिलीवरी सिस्टम के एप्लिकेशन प्रोग्रामिंग इंटरफेस (एपीआई) में बग के कारण कमजोरियां पैदा हुईं। कहा जाता है कि पूरा मैकडॉनल्ड्स इंडिया वेस्ट और साउथ डिवीजन इस सुरक्षा खामी से प्रभावित था, जो किसी को भी सिस्टम पर रखे गए ऑर्डर तक पहुंचने और उसे हाईजैक करने की इजाजत दे सकता था। कथित तौर पर बग को पहली बार जुलाई में देखा गया था और सितंबर के अंत तक ठीक कर लिया गया था।
मैकडॉनल्ड्स इंडिया में कथित तौर पर एक बड़ी सुरक्षा खामी थी
टेकक्रंच के अनुसार प्रतिवेदनहार्डकैसल रेस्तरां के स्वामित्व वाले मैकडॉनल्ड्स इंडिया के पश्चिम और दक्षिण डिवीजनों द्वारा उपयोग किए जाने वाले डिलीवरी सिस्टम के एपीआई कई सरल सुरक्षा खामियों से प्रभावित थे। इन बगों की खोज सबसे पहले सुरक्षा शोधकर्ता ईटन ज़वेरे ने की थी, जिन्होंने प्रकाशन को विवरण का खुलासा किया।
कमजोरियों के कारण, जानकारी रखने वाला कोई भी व्यक्ति कथित तौर पर वास्तविक समय में ऑर्डर तक पहुंच सकता है, उसे हाईजैक कर सकता है, रीडायरेक्ट कर सकता है या ऑर्डर ट्रैक कर सकता है। कथित तौर पर खराब अभिनेता डिलीवरी सिस्टम के एपीआई में हेरफेर करके $0.01 (लगभग 0.85 रुपये) के लिए वैध ऑर्डर भी दे सकते हैं।
विशेष रूप से, डिलीवरी सिस्टम का उपयोग ऑर्डर देने और ट्रैकिंग के लिए किया जाता है। इसमें ग्राहक के नाम, फोन नंबर और पते के साथ-साथ डिलीवरी कर्मियों की व्यक्तिगत जानकारी जैसे वाहन नंबर, प्रोफ़ाइल चित्र, स्थान डेटा और बहुत कुछ शामिल है।
कथित तौर पर एपीआई तक खुली पहुंच की वजह यह थी कि यह ठीक से निगरानी नहीं कर रहा था कि केवल अधिकृत लोग ही ऑर्डर दे रहे थे और जानकारी को ट्रैक कर रहे थे। कथित तौर पर कमजोरियों ने सिस्टम को हमले के लिए खुला छोड़ दिया है और संभावित हैकर को चालान तक पहुंचने और वितरित आदेशों के लिए फीडबैक सबमिट करने की भी अनुमति दे दी है।
ऐसा कहा जाता है कि सुरक्षा शोधकर्ता ने जुलाई में मैकडॉनल्ड्स इंडिया को कमजोरियों की सूचना दी थी, और उन्हें सितंबर के अंत में ठीक कर लिया गया था। रेस्तरां श्रृंखला ने टेकक्रंच को बताया कि सिस्टम और लॉग डेटा का गहन सत्यापन किया गया और यह निर्धारित किया गया कि एपीआई बग के परिणामस्वरूप कोई सुरक्षा उल्लंघन नहीं हुआ। मैकडॉनल्ड्स इंडिया ने कथित तौर पर यह भी कहा कि ग्राहक डेटा को संगठन के बाहर किसी के द्वारा एक्सेस नहीं किया गया था।
हालांकि रेस्तरां श्रृंखला ने उन ग्राहकों की संख्या का खुलासा नहीं किया जिनकी व्यक्तिगत जानकारी सुरक्षा खामियों के परिणामस्वरूप उजागर हुई थी, शोधकर्ता ने कथित तौर पर दावा किया कि करोड़ों ऑर्डर उजागर हुए थे।