Nous Contacter

Failles de Sécurité chez McDonald’s India Exposent les Données Clients

Des failles majeures dans le système de livraison de McDonald’s India ont exposé les données personnelles sensibles de ses clients et livreurs, comme l’a appris en exclusivité TechCrunch. Ces vulnérabilités, découvertes par le chercheur en sécurité Eaton Zveare, affectaient les API utilisées par l’application et le site web de commande en ligne McDelivery.

Des API mal sécurisées à l’origine des fuites

Selon Zveare, un manque de vérification d’autorisation dans les API de McDelivery permettait à n’importe qui d’accéder aux commandes, de les détourner, de les suivre en temps réel ou même de passer des commandes légitimes pour seulement 0,01$. Les failles donnaient aussi accès aux factures et permettaient de soumettre des avis sur les commandes clients.

Parmi les données clients exposées figuraient les noms complets, adresses email et numéros de téléphone. Côté livreurs, il était possible d’accéder aux numéros de véhicule, photos de profil et de suivre leur position en temps réel pendant les livraisons. De quoi inquiéter au vu de la sensibilité de ces informations.

McDonald’s India réagit, pas de violation constatée

Alerté en juillet par le chercheur, McDonald’s India affirme avoir corrigé les failles fin septembre après une « vérification approfondie des systèmes et logs ». La chaîne assure qu’aucune preuve de violation des données clients n’a été trouvée suite à cet incident.

Nous effectuons des audits réguliers pour renforcer en permanence nos mesures de sécurité, et avons implémenté toutes les améliorations nécessaires pour que nos systèmes soient à jour et sécurisés.

– Sulakshna Mukherjee, porte-parole de McDonald’s India (West & South)

Le nombre exact de clients affectés n’a pas été communiqué, mais le chercheur estime que les bugs donnaient accès à des centaines de millions de commandes. Un chiffre conséquent au vu de la popularité de McDonald’s en Inde, marché clé pour l’enseigne.

Pas une première pour McDonald’s India

Ce n’est malheureusement pas la première fois que McDonald’s India se retrouve épinglé pour des failles de sécurité. Déjà en 2017, l’application de McDelivery avait fuité les données personnelles d’environ 2,2 millions de clients. Un précédent qui souligne l’importance d’audits réguliers et d’une sécurisation sans faille des systèmes.

Quels risques pour les clients et livreurs ?

Au-delà du sentiment de violation de la vie privée, de telles fuites exposent à de multiples risques :

  • Usurpation d’identité et ouverture de comptes frauduleux à partir des données volées
  • Hameçonnage ciblé se faisant passer pour la marque pour soutirer plus d’infos
  • Exploitation des vulnérabilités pour pirater d’autres comptes liés (réutilisation de mots de passe…)
  • Menaces physiques en pistant la position des livreurs

Les entreprises manipulant des données clients se doivent d’être exemplaires dans leur protection, sous peine de perdre la confiance durement acquise. Cela passe par :

  • Des audits de sécurité fréquents et approfondis par des experts
  • Des tests d’intrusion pour identifier les failles avant qu’elles ne soient exploitées
  • Une isolation et un chiffrement des données sensibles
  • Une stricte politique de contrôle d’accès et d’autorisation
  • Une transparence et réactivité en cas d’incident

Les réglementations comme le RGPD en Europe poussent les acteurs à renforcer leur cybersécurité, mais une véritable prise de conscience est nécessaire. Chaque fuite est un coup dur pour l’image et la confiance, dans un monde de plus en plus connecté et sujet aux cybermenaces.

Et vous, seriez-vous prêt à confier vos données à une entreprise déjà pointée pour ses failles ? C’est tout l’enjeu pour McDonald’s India de rassurer après ce nouveau bad buzz. La sécurité n’est plus une option, mais un impératif business.

Précédent

Grammarly Devient Une Plateforme De Productivité IA Complète Avec L’Acquisition De Coda

Suivant

L’UE Demande à Apple d’Ouvrir iOS aux Développeurs Tiers

À lire également