マクドナルドのAPIを悪用して配達を乗っ取ったり1円でハンバーガーを注文したりするハッキング攻撃

マクドナルドの公式デリバリーシステムであるマックデリバリーに存在する脆弱(ぜいじゃく)性を利用して、任意のメニューを1セント(約1.6円)で注文したり、他人の配達注文を盗んだりすることができることが明らかになりました。

I’m Lovin’ It: Exploiting McDonald’s APIs to hijack deliveries and order food for a penny
https://eaton-works.com/2024/12/19/mcdelivery-india-hack/

Bugs in a major McDonald's India delivery system exposed sensitive customer data | TechCrunch
https://techcrunch.com/2024/12/19/bugs-in-a-major-mcdonalds-india-delivery-system-exposed-sensitive-customer-data/

セキュリティ企業のTraceable AIでセキュリティアナリストとして働くイートン・ズベア氏が、インドのマクドナルド、正確にはHardcastle Restaurantsが所有するMcDonald's Indiaの配達システムのAPIに欠陥を発見しました。

McDonald's IndiaのマックデリバリーはウェブサイトおよびiOS/Androidアプリから利用可能で、インドでも人気のデリバリーサービスです。マックデリバリー自体は世界中のさまざまな国と地域で利用可能ですが、McDonald's Indiaは独自のカスタムウェブアプリを開発し、サービスを提供しています。

McDonald's IndiaのマックデリバリーはシングルページアプリケーションフレームワークのAngularを使用して構築されています。Angularは高インタラクティブな消費者向けアプリに最適だそうです。

ズベア氏によると、McDonald's Indiaの配達システムには「Broken Object Level Authorization(BOLA)」と呼ばれる脆弱性が存在しているそうです。これは非常に一般的な脆弱性で、McDonald's Indiaのマックデリバリーでは複数のBOLAが見つかった模様。

McDonald's Indiaのマックデリバリーに存在する脆弱性により、アプリやウェブサイトが注文や追跡に使用しているAPIとやり取りすることで、誰でも簡単に注文にアクセスしたり、注文を乗っ取ったり、注文の配達先を変更したり、配達をリアルタイムで追跡したり、1セントで配達を注文したりすることができる模様。これは、注文をリクエストする人が正しくリクエストを許可されているかどうかをAPIが適切に確認していないため発生する不具合だそうです。

ズベア氏によると、マックデリバリーのモバイルアプリはウェブサイトと全く同じバックエンドAPIを使用していたため、アプリとウェブサイトの両方が同じエクスプロイトに対して脆弱だったそうです。その結果、McDonald's Indiaユーザーの個人情報(ユーザー名、メールアドレス、電話番号)がインターネット上に流出した他、配達で利用している車両のナンバー、配達員のプロフィール写真、配達中のドライバーのリアルタイムの位置情報なども漏えいしてしまったそうです。

ズベア氏は2024年7月に脆弱性を発見し、McDonald's Indiaに報告しており、脆弱性は同年9月下旬に修正されています。

McDonald's Indiaの広報担当を務めるスラクシュナ・ムケルジー氏は、テクノロジーメディアのTechCrunchに対して「当社はセキュリティ対策を継続的に強化するために定期的な監査と評価を実施しており、必要な機能強化をすべて実装し、すべてのシステムが最新かつ安全であることを保証しています」とコメントしています。

McDonald's Indiaは個人情報が漏えいした可能性のある顧客の総数を明らかにしていませんが、ズベア氏は「何億件もの注文にアクセスできた」とTechCrunchに証言しました。

なお、McDonald's Indiaは2017年にもマックデリバリーアプリ経由で約220万人分の個人情報を漏えいしています。