Une faille critique dans le système de livraison de McDonald’s

Technology alannah. REPORT

Et si je vous disais qu’il est possible de commander Gros Mac pour quelques centimes et détourner les commandes d’autres clients chez McDonald’s ?

Non, ce n’est pas le scénario d’un film de hacker des années 90, mais une réalité récemment découverte dans le système de livraison indien de la célèbre chaîne de restauration rapide.

Vous commandez calmement votre menu favori via l’application Livraison Mc en Inde, et quelques minutes plus tard votre commande est mystérieusement redirigée vers une autre adresse. C’est exactement ce qu’Eaton Zveare, chercheur en sécurité chez Traceable AI, a découvert en analysant l’API du système de livraison de McDonald’s en Inde (ouest et sud).

Le système présentait plusieurs vulnérabilités majeures affectant McDelivery, une application comptant plus de 10 millions de téléchargements :

  • Possibilité de commander n’importe quel menu pour seulement 1 roupie
  • Possibilité de détourner et de rediriger les commandes en cours
  • Accès aux informations personnelles des clients et des livreurs
  • Suivi en - réel de la position des livreurs
  • Téléchargez les factures pour toute commande
  • Modification des avis clients

Notre ami chercheur s’est amusé à décortiquer l’application web Angulaire de McDelivery et en bon explorateur des failles de sécurité, il a rapidement repéré itinéraires suspects liés aux commandes. En testant simplement les identifiants « 0 » et « 1 », il a alors obtenu accès à des informations qui auraient dû rester confidentielles.

La technique utilisée est Elle était (Broken Object Level Authorization), une vulnérabilité classique mais redoutable. Ainsi, en modifiant certains paramètres dans les requêtes API, il a été possible de :

  1. Récupérer les détails de toute commande
  2. Suivez la localisation GPS des livreurs en - réel
  3. Accéder aux informations personnelles (noms, e-mails, numéros de téléphone)
  4. Téléchargez les factures de tous les clients
  5. Afficher les rapports sur les performances administratives

La partie la plus impressionnante a été la manipulation des prix. En exploitant une faille dans l’API du panier d’achat, le chercheur a pu commander des repas complets pour une roupie. Plus inquiétant encore, il était possible de repérer une commande en cours de paiement, puis de modifier l’adresse de livraison avant finalisation et enfin de réaffecter la commande à un autre compte. Et en bonus, faites disparaître toute trace pour le client d’origine…

Heureusement, le chercheur a joué le jeu en suivant une démarche éthique. McDonald’s Inde a confirmé qu’aucune donnée client n’avait été compromise avant que les failles ne soient corrigées. La chaîne a également renforcé ses mesures de sécurité et mis à jour ses systèmes.

Pour les utilisateurs inquiets, McDonald’s assure que seuls les restaurants de l’ouest et du sud de l’Inde ont été concernés, les autres pays utilisant des systèmes différents. La chaîne confirme également qu’aucune donnée de paiement n’a été compromise, celles-ci étant gérées par un prestataire externe selon les normes de sécurité en vigueur.

Ouf !

Source

 
For Latest Updates Follow us on Google News
 

PREV Le PC ultra léger d’Apple profite de 430 euros de remise chez ce marchand en ligne
NEXT la rétrogradation depuis iOS 18.2 n’est plus possible

Related posts

Xbox nomme un « Vice-président Next Generation », le futur des consoles est en marche

Le retour des réfugiés en Syrie, un dilemme pour l’économie turque

L’habitant de Waremme venait tous les jours à 5 heures du matin se masturber devant les techniciens de nettoyage de la province de Liège

Le Nord est le département le plus peuplé de France, devant Paris et les Bouches-du-Rhône.