Hindistan’ın en popüler yemek dağıtım uygulamalarından biri olan McDonald’s McDelivery’nin, kötü amaçlarla kullanılabilecek kritik bir güvenlik açığına sahip olduğu keşfedildi.
Kusurlar, uygulamada ayrıntılı bir araştırma yürüten etik bir bilgisayar korsanı tarafından tespit edildi ve API güvenliğinde önemli eksiklikler gösteren çeşitli açıkları başarıyla ortaya çıkardı.
Güvenlik Açığı
McDonald’s India (West & South) / Hardcastle Restaurants Pvt. tarafından geliştirilen McDelivery sistemi. Ltd.’nin API’sinde çeşitli işlevlere yetkisiz erişime izin veren çok sayıda kusurun olduğu tespit edildi. Bu istismarlar şunları içeriyordu:
- ₹1 karşılığında sipariş: Kullanıcılar, alışveriş sepeti nesnesi fiyat manipülasyonuyla ilgili bir güvenlik açığından yararlanarak sistemi 1₹1 (0,01 ABD Doları) kadar düşük miktarlarda sipariş verecek şekilde manipüle edebilir.
- Siparişlerin Ele Geçirilmesi: Bilgisayar korsanları, API isteklerini dikkatli bir şekilde zamanlayarak başka bir kullanıcının siparişini kendi adresine yönlendirerek bir siparişi etkili bir şekilde çalabilir.
- Teslimatların İzlenmesi: Herhangi bir sipariş için teslimat sürücülerinin gerçek zamanlı takibi, API çağrılarının manipülasyonu yoluyla mümkün oldu ve sürücünün konumu ve hassas kişisel bilgileri açığa çıktı.
- Hassas Verilere Erişim: Kullanıcılar başkalarının sipariş ayrıntılarını alabilir, faturaları indirebilir ve hatta vermedikleri siparişlerle ilgili geri bildirim gönderebilir.
- Sürücü Bilgi Sızıntısı: Teslimatçıların adı, telefon numarası, e-posta adresi, profil resmi ve araç plaka numarası gibi kişisel bilgileri kamuya açıktı.
- Yetkisiz Yönetici Veri Erişimi: Bir boşluk, kullanıcıların yönetici Temel Performans Göstergesi (KPI) raporlarını uygun yetkilendirme olmadan görüntülemesine olanak tanıdı.
Soruşturma
Etik korsan, Kırık Nesne Düzeyinde Yetkilendirme (BOLA) ve Toplu Atama güvenlik açıkları gibi tekniklerden yararlanarak McDelivery uygulamasındaki zayıflıkları sistematik olarak ortaya çıkardı.
McDonald’s Hindistan’ın popüler bir tek sayfalık uygulama çerçevesi olan Angular’ı kullanmasına ve JWT belirteçleri gibi temel kimlik doğrulama önlemlerini uygulamasına rağmen, konu hassas verilere kullanıcı erişimini düzgün bir şekilde kısıtlamaya geldiğinde sistemler yetersiz kaldı.
Göze çarpan istismarlardan biri, sepetteki ürünlerin fiyatının manipüle edilmesiydi. Bilgisayar korsanı, API aracılığıyla “fiyat” parametresini değiştirerek, sunucu tarafı doğrulamayı atlayarak orijinal maliyetin çok küçük bir kısmı karşılığında sipariş verebildi.
Bir diğer önemli güvenlik açığı, bilgisayar korsanlarının devam eden siparişleri ele geçirmesine olanak tanıdı. Bilgisayar korsanı, başka bir kullanıcı tarafından verilen bir siparişin atanmış adres kimliğini veya kullanıcı kimliğini değiştirerek teslimatı kendi konumuna yönlendirebilir ve yiyeceği etkili bir şekilde çalabilir.
Soruşturma endişe verici gizlilik risklerini ortaya çıkardı. Sürücülerin gerçek zamanlı konumları da dahil olmak üzere kişisel bilgileri açığa çıktı. Üstelik herhangi bir siparişin faturalarına, bir API isteğinde sipariş kimliği değiştirilerek kolayca erişilebiliyor.
“Bu güvenlik açıkları yalnızca teknik kusurlar değil; Bilgisayar korsanı raporunda, kullanıcı gizliliği ve McDonald’s’ın itibarı için gerçek bir tehlike oluşturduğunu belirtti.
Etik hacker, açıkları detaylandıran 24 sayfalık kapsamlı bir rapor derledi ve bunu McDelivery hata ödül programına sundu. McDonald’s’ın takdirine göre tepkileri övgüye değerdi. Tüm güvenlik açıkları standart 90 günlük zaman dilimi içinde giderildi.
Yanıtlar nispeten yavaş olsa da şirket, bildirilen her soruna kapsamlı bir yama uygulanmasını sağladı. Bilgisayar korsanına çabaları karşılığında bir ödül verildi.
McDonald’s Hindistan, etik korsanları güvenlik açıklarını bildirmeye teşvik eden bir hata ödül programına sahip olduğu için tanınmayı hak ediyor. Özellikle, McDonald’s ABD’nin resmi bir hata ödül programının olmaması, güvenlik profesyonellerinin eleştirilerine yol açan bir gerçektir.
Google Play’de 10 milyondan fazla indirilen ve Apple App Store’daki güçlü varlığıyla McDelivery, McDonald’s’ın Hindistan’daki operasyonlarının kritik bir bileşenidir. Bu olay, tüketiciye yönelik uygulamalarda sağlam güvenlik uygulamalarının öneminin açık bir hatırlatıcısıdır.
Güvenlik açıkları o zamandan beri düzeltilmiş olsa da bu durum, özellikle hassas müşteri verilerini ve finansal işlemleri işleyen sistemler için sürekli güvenlik değerlendirmelerine olan ihtiyacı ortaya koyuyor. Şirketler, benzer gözetimlerden kaçınmak için bu olaydan ders alarak kullanıcı güvenliğine ve gizliliğine öncelik vermelidir.
Daha İlginç Günlük Siber Güvenlik Mağazaları için Bizi Takip Edin LinkedIn, X Ve Google Haberler