McDelivery（麦乐送）是一款麦当劳推出的订餐应用。近日，印度McDelivery应用泄露了220多万麦当劳用户的个人数据。

安全公司Fallible的研究员称，此次泄露的用户数据包括：姓名、电子邮箱地址、电话号码、家庭住址、家庭坐标和社交个人资料链接。

此次用户数据泄露的根源在于McDelivery公开可访问的API端点（用于获取用户详细信息）未受保护。

API端点地址见：

http://services.mcdelivery.co.in/ProcessUser.svc/GetUserProfile

专家分享的Curl请求的响应样本如下：

　　攻击者可以利用该问题枚举该应用的所有用户，并访问相关数据。

McDelivery应用未检查通过API请求的用户ID是否与登录用户为同一人。用户ID由从1开始的纯数字构成，因此，攻击者可以枚举并检索用户的数据。

Fallible于2月7日向麦当劳公司报告了该问题。

2月13日麦当劳一名高级IT经理于证实了该漏洞，并于上周修复了漏洞。

但Fallible的专家指出此次修复并不完整，端点仍在泄露数据。

补丁发布后，麦当劳在Facebook页面发布声明宣布推出升级版本，并提示用户尽管升级应用。

麦当劳在声明中表示：

“我们在此通知用户，我们的网站和应用未存储用户的任何敏感财务数据，例如信用卡详细信息、钱包密码或银行账号信息。用户可放心使用官网和应用程序，我们会定期更新安全措施。为了预防，我们还敦促用户在其设备上升级McDelivery应用程序。”