McDelivery（麥樂送）是一款麥當勞推出的訂餐應用。近日，印度McDelivery應用泄露了220多萬麥當勞用戶的個人數(shù)據(jù)。

安全公司Fallible的研究員稱，此次泄露的用戶數(shù)據(jù)包括：姓名、電子郵箱地址、電話號碼、家庭住址、家庭坐標和社交個人資料鏈接。

此次用戶數(shù)據(jù)泄露的根源在于McDelivery公開可訪問的API端點（用于獲取用戶詳細信息）未受保護。

API端點地址見：

http://services.mcdelivery.co.in/ProcessUser.svc/GetUserProfile

專家分享的Curl請求的響應樣本如下：

　　攻擊者可以利用該問題枚舉該應用的所有用戶，并訪問相關(guān)數(shù)據(jù)。

McDelivery應用未檢查通過API請求的用戶ID是否與登錄用戶為同一人。用戶ID由從1開始的純數(shù)字構(gòu)成，因此，攻擊者可以枚舉并檢索用戶的數(shù)據(jù)。

Fallible于2月7日向麥當勞公司報告了該問題。

2月13日麥當勞一名高級IT經(jīng)理于證實了該漏洞，并于上周修復了漏洞。

但Fallible的專家指出此次修復并不完整，端點仍在泄露數(shù)據(jù)。

補丁發(fā)布后，麥當勞在Facebook頁面發(fā)布聲明宣布推出升級版本，并提示用戶盡管升級應用。

麥當勞在聲明中表示：

“我們在此通知用戶，我們的網(wǎng)站和應用未存儲用戶的任何敏感財務(wù)數(shù)據(jù)，例如信用卡詳細信息、錢包密碼或銀行賬號信息。用戶可放心使用官網(wǎng)和應用程序，我們會定期更新安全措施。為了預防，我們還敦促用戶在其設(shè)備上升級McDelivery應用程序。”