Recentemente, uma falha significativa em um dos sistemas de entrega do McDonald’s na Índia revelou dados pessoais de clientes e entregadores, devido a problemas de segurança considerados básicos. A informação foi divulgada com exclusividade pelo portal TechCrunch, que obteve detalhes sobre as vulnerabilidades encontradas no sistema de entrega da rede de fast-food.
Os problemas de segurança foram identificados pelo pesquisador de segurança Eaton Zveare, que examinou a interface de programação de aplicativos (API) associada ao McDelivery, o serviço de entrega da divisão do McDonald’s na região oeste e sul da Índia, de propriedade da Hardcastle Restaurants. Zveare afirmou que as falhas permitiram que qualquer pessoa pudesse acessar, sequestrar, redirecionar ou rastrear em tempo real os pedidos, além de realizar pedidos legítimos por apenas $0,01, simplesmente interagindo com a API da empresa, utilizada por aplicativos e sites para processamento de comandos e monitoração de entregas.
Essas falhas ocorreram porque a API não estava realizando a verificação adequada para garantir que a pessoa que estava fazendo as solicitações tinha autorização para tal. Além disso, as vulnerabilidades permitiam acesso a faturas e a possibilidade de enviar feedback em relação aos pedidos dos clientes, caracterizando uma exposição substancial de informações sensíveis.
Os dados expostos incluíam nomes completos, endereços de e-mail e números de telefone dos clientes do McDonald’s na índia, assim como números dos veículos de entrega, fotos de perfil e a possibilidade de seguir a localização em tempo real dos entregadores da rede. Zveare identificou as vulnerabilidades em julho e notificou a rede de fast-food, que se comprometeu a resolver os problemas até o final de setembro.
A McDonald’s Índia assegurou ao TechCrunch que uma “verificação minuciosa dos sistemas e registros” demonstrou que as falhas não resultaram em uma violação de dados dos clientes. Em declaração enviada por e-mail, Sulakshna Mukherjee, porta-voz do McDonald’s Índia (Oeste e Sul), destacou que a empresa realiza auditorias e avaliações regulares com o intuito de fortalecer continuamente suas medidas de segurança, garantindo que todos os sistemas estejam atualizados e protegidos.
Curiosamente, a McDonald’s Índia não revelou quantos clientes tiveram suas informações potencialmente expostas por causa dessas vulnerabilidades. Contudo, o pesquisador destacou que as falhas possibilitaram acesso a centenas de milhões de pedidos. Conforme Zveare, “o aplicativo móvel do McDelivery (Oeste & Sul) utiliza exatamente as mesmas APIs de backend que o site. Como resultado, ambos estavam vulneráveis aos mesmos ataques.”
Vale ressaltar que este não é um caso isolado de exposição de dados sensíveis por parte do McDonald’s na Índia. Em 2017, o aplicativo de entrega da rede vazou informações pessoais de aproximadamente 2,2 milhões de clientes. A repetição de tais incidentes levanta preocupações acerca da eficácia das medidas de segurança implementadas pela companhia e da confiabilidade que os consumidores podem depositar em sistemas que claramente não têm conseguido garantir a proteção de dados essenciais.
Capitalizando sobre a necessidade de segurança, a McDonald’s Brasil, uma das divisões mais populares da marca, também enfrenta desafios semelhantes em relação à proteção de dados de seus usuários em plataformas digitais. Com aumentos espantosos nas fraudes online e em dados pessoais globalmente, é crucial que grandes corporações adotem protocolos de segurança robustos e sigam práticas recomendadas para mitigar riscos de vazamentos e invasões de sistemas.
Em um mundo cada vez mais digital, a proteção de dados pessoais não deve ser tratada como uma medida opcional, mas sim como uma prioridade e responsabilidade inalienável para qualquer empresa que opera no campo da tecnologia e serviços digitais. A confiança do consumidor é um ativo valioso, e transgressões dessa natureza podem significar um golpe significativo na reputação e na continuidade dos negócios. A questão agora é: até onde irá o McDonald’s para reconquistar a confiança dos seus consumidores?
Para uma análise técnica mais aprofundada sobre possíveis maneiras de proteger dados em sistemas de entrega, você pode ler este artigo complementar em measures de segurança.
Além disso, é importante que consumidores estejam conscientes das implicações sobre a privacidade e segurança de seus dados ao utilizarem serviços digitais, sempre cobrando de empresas a manutenção de padrões elevados de retenção de dados e auditorias regulares sobre as operações. E você, já teve alguma experiência que o fez repensar sobre a segurança dos seus dados pessoais ao utilizar aplicativos de entrega? Compartilhe suas histórias!
