l+f: Güvenlik araştırmacısı McDonald's'tan 1 sentlik sipariş verdi

l+f:

Siparişleri yeniden yönlendirme ve fiyatları değiştirme: Bir güvenlik araştırmacısı, Hindistan'daki McDonald's'ın McDelivery sipariş sisteminde birçok hata buldu ve 1 sent karşılığında herhangi bir ürünü sipariş edebilirdi.

Duyuru

BOLA (Kırık Nesne Düzeyinde Yetkilendirme) ve Kırık Nesne Mülkiyet Düzeyinde Yetkilendirme güvenlik açıkları nedeniyle bir güvenlik araştırmacısı, dağıtım hizmetinin API'sine erişip onu değiştirebildi. Bu tür güvenlik açıkları, saldırganların yetki eksikliği nedeniyle kendilerine yönelik olmayan verileri görüntülemesine olanak tanır.

Raporuna göre, yalnızca URL'lerdeki kimlikleri değiştirerek üçüncü taraf siparişlerini görüntüleyebiliyor ve hatta kendi siparişlerini verip değiştirebiliyordu. Diğer şeylerin yanı sıra fatura oluşturmaya yönelik bir API ile karşılaştı ve fiyatları ayarlayabildi. 1 sent karşılığında 100 adet patates kızartması sipariş ettiğini iddia ediyor. Sipariş başarılıydı. Yanlış anlaşılmaları önlemek için hemen sildi. Güvenlik araştırmacısı ayrıca, doğru zamanlamayla önceden verilmiş olan siparişlerin yeniden yönlendirilebileceğini de açıklıyor. Daha sonra başkası tarafından ödenen bir menü alacaksınız.

Kendisi, yalnızca Hindistan'daki McDonald's çevrimiçi sipariş hizmetinin etkilendiğini garanti ediyor. Güvenlik sorunları artık çözüldü ve güvenlik araştırmacısı 240 dolar değerinde bir Amazon kuponuyla ödüllendirildi. McDonald's ABD'de ömür boyu bedava yiyecek sağlayan Altın Kart alma teklifi, güvenlik açıklarının ciddiyeti nedeniyle reddedildi.



(des)


Yayımlandı

kategorisi

yazarı:

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir