Hadilábon áll az adatok védelmével az indiai McDonald’s

​A McDonald’s Indiában használatos egyik alkalmazása kapcsán egy súlyos sebezhetőségre derült fény. Noha a magyar felhasználókat nem érinti az eset, az mégis sok tanulsággal szolgál.
 

A Fallible biztonsági cég januárban számolt be azon elemzéseiről, amelyekből kiderült, hogy sok alkalmazás feleslegesen vagy nem kellően védetten tárolja a hitelesítésekhez, illetve a titkosításokhoz használatos kulcsokat, tokeneket. A vállalat jelezte, hogy emiatt Twitter, Flickr, Dropbox, Slack, Uber és Amazon AWS fiókok is veszélybe kerülhetnek. Fontos hangsúlyozni, hogy most nem a Twitter, Dropbox stb. által fejlesztett szoftverek esetében merültek fel problémák, hanem olyan külső appokkal kapcsolatban jelentkeztek hiányosságok, amik például a Twitter authentikációs mechanizmusait, API-jait is használják.
 
A Fallible a vizsgálatait az elmúlt hetekben is folytatta, és ezúttal a McDonald’s megoldásait vette alaposabban is szemügyre. Nem is haszontalanul, ugyanis egy súlyos sérülékenységről sikerült lerántania a leplet. Az az egyik webes API-kapcsán merült fel, és felhasználói adatok kiszivárogtatását tehette lehetővé. A cég szerint akár 2,2 millió indiai felhasználó adatai is veszélybe kerülhettek.
 
A nem megfelelően védett webes megoldáson keresztül viszonylag egyszerűen nyílt lehetőség adatgyűjtésre. Egyebek mellett nevek, e-mail címek, telefonszámok, postázási címek, lakhelyek koordinátái és közösségi profilokra vezető linkek is szabadon lekérdezhetővé válhat.  
A McDelivery kiszolgálását végző rendszerbe korábban regisztrált felhasználók adataihoz akár automatizáltan, tömegesen is hozzá lehetett jutni. Ennek oka, hogy az érintett API a felhasználói adatok lekérdezésekor nem végzett semmiféle hitelesítést, azaz nem ellenőrizte, hogy egy felhasználó valóban csak a saját adataihoz próbál-e hozzáférni. Ráadásul a lekérdezéseket olyan ügyfélazonosítóval lehetett kezdeményezni, amely 1-től indult, és egyesével növekedett.
 
A Fallible február 7-én jelezte a felfedezését a McDonald’s India kirendeltségének, és február 13-án kapott választ, miszerint a biztonsági rést befoltozták a fejlesztők. Csakhogy a megismételt vizsgálatok során kiderült, hogy a foltozás nem volt teljes körű, így a kockázatok még fennállnak. A biztonsági cég szerint az eset és az elhúzódó hibajavítás egyik oka, hogy India nem áll jól az adatvédelem szabályzásának terén. Nincsnek szigorú jogszabályok, a meglévő előírások betartatása sem kiemelt szempont, és a büntetések sem elrettentő nagyságúak.