利用麦当劳 API 漏洞：低价订购与劫持配送的惊人大发现

背景介绍

一位技术研究员对麦当劳印度的食品配送系统 MCDelivery 进行了深入探索，发现了一系列令人震惊的安全漏洞。这些漏洞不仅可能导致用户信息泄露，还可能被恶意利用来劫持订单、低价购买食品，甚至获取敏感的管理员数据。

MCDelivery 是麦当劳在印度推出的定制化网络订餐平台，用户可以通过官网或移动应用订购食品。该平台在 Google Play 上的下载量已超过 1000 万次，成为印度极受欢迎的食品配送服务之一。然而，这一系统的安全性却存在诸多问题。

研究员发现，MCDelivery 的 API 存在“破损的对象级授权”（BOLA）漏洞。攻击者可以通过简单的 URL 操作（如更改订单 ID），获取其他用户的订单详情，包括订单状态、配送地址和用户信息等。

更令人担忧的是，攻击者还能通过精心设计的 API 调用序列，劫持正在进行的订单。例如，攻击者可以在用户支付前，将订单的配送地址更改为自己的地址，从而免费获取食物。

在订单结算流程中，研究员发现了一个“破损的对象属性级授权”漏洞。攻击者可以修改购物车中商品的价格信息，将高价商品的价格篡改为极低值（如 1 印度卢比，约合 1 美分），并通过支付验证完成订单。这一漏洞使得攻击者能够以几乎可以忽略不计的成本订购大量食品。

除了订单信息泄露外，MCDelivery 的 API 还暴露了配送员的敏感信息，包括电话号码、电子邮件地址、姓名和车牌号码等。这些信息可能被用于恶意目的，严重侵犯配送员的隐私。

研究员还发现，攻击者可以下载任意订单的发票，并提交针对其他用户订单的虚假反馈。这些操作均无需额外验证，进一步凸显了系统在权限管理上的缺陷。

尽管 MCDelivery 的管理员面板相对安全，但研究员发现了一个可公开访问的 KPI 报告端点，该端点接受普通用户的 JWT 令牌。这意味着攻击者可能获取麦当劳内部的运营数据。

研究员将这些漏洞报告给了麦当劳印度的 Bug Bounty 计划。麦当劳团队对报告给予了高度重视，并在 90 天内完成了所有漏洞的修复。研究员因其贡献获得了 240 美元的奖励。

用户层面
- 用户应提高对个人信息泄露风险的认识，避免在不安全的网络环境中使用配送服务。
- 定期检查订单历史和账户活动，及时发现异常交易。
企业层面
- 麦当劳事件凸显了实施全面 Bug Bounty 计划的重要性。企业应鼓励白帽黑客发现并报告漏洞，以降低安全风险。
- 在 API 设计中，需严格遵循最小权限原则，确保所有数据访问和修改操作均经过严格的身份验证和授权。