Lauren Taylor, de Halifax, en Nouvelle-Écosse, a été choquée de trouver son compte bancaire presque vide après que quelqu’un a utilisé son application McDonalds mobile pour acheter 500$ (environ 440€) de produits, à plus de 1 200 kilomètres de là, à Montréal, au Québec !
L’escroc a réussi à faire en sorte que son compte soit piraté de manière à ce que les factures soient réglées sous cinq jours, du 25 au 29 janvier. Chaque fois que le pirate affamé commandait un Big Mac et des frites, un reçu était envoyé dans sa boîte de réception. Malheureusement, elle ne vérifiait pas ses emails de manière régulière. Mais lorsqu’elle l’a fait, il ne lui restait plus que 1,99$ (environ 1.75€). Elle a expliqué qu’elle devait encore payer son loyer et que quelqu’un à Montréal était probablement à la recherche d’un pantalon plus large avec des élastiques.
En général, après avoir commandé des produits via leur application McDonalds, les clients peuvent signaler lorsqu’ils arrivent au restaurant. L’application débite ensuite la carte de crédit qu’ils ont enregistrée dans le système et un membre du personnel leur livre la commande dehors, aux abords du restaurant. Pour obtenir la nourriture, le client doit fournir un code à quatre chiffres qui lui est attribué par l’application.
McDonalds Canada a nié l’existence d’un problème de sécurité lié à l’application dans un email adressé à CBC/Radio-Canada. Un porte-parole a déclaré :
Nous prenons les mesures appropriées pour sécuriser les informations personnelles, y compris sur notre application McDonalds. Comme pour toute autre activité en ligne, nous recommandons à nos clients d’utiliser notre application avec diligence en ne partageant pas leurs mots de passe avec d’autres, en créant des mots de passe uniques et en les modifiant fréquemment.
Taylor prétend qu’elle l’a fait, précisant qu’elle change régulièrement ses mots de passe, ne les partage jamais et en choisi des complexes. L’application McDonalds requiert des mots de passe de huit à 12 caractères, avec des majuscules et des minuscules et au moins un chiffre.
Taylor n’est pas un cas isolé. CTV a également trouvé une femme dans l’Ontario qui avait vu des achats McDonalds, passés dans une autre ville, être débités de son compte. Tracy Creaser et Brett O’Donnell, des résidents de Halifax, ont également été victimes de deux autres incidents similaires.
Des données client savoureuses
Il ne s’agit pas de la première fois que McDonalds fourni des données client bien chaudes et onctueuses. En mars 2017, McDonalds India a demandé aux utilisateurs de mettre à niveau leur application McDelivery après avoir signalé des fuites des données personnelles de près de 2,2 millions d’utilisateurs, notamment leur nom, leur adresse électronique, leur numéro de téléphone, leur adresse personnelle et leurs liens sur les réseaux sociaux. Les attaquants pourraient collecter les informations en incrémentant en série les paramètres de l’ID utilisateur transmis à l’API, ont déclaré des experts en sécurité.
En janvier 2017, Tijme Gommers, ingénieur en cybersécurité, a révélé une vulnérabilité en indiquant comment dérober les mots de passe des clients sur le site web de McDonalds, attirant ainsi l’attention des lecteurs de YCombinator’s Hacker News pour ne pas avoir laissé suffisamment de temps à McDonalds pour répondre. Toutefois, cette vulnérabilité a été corrigée par la chaîne de restauration après la mise à niveau d’Angular vers la version 1.6.
Billet inspiré de McDonalds app users hatin’ it after being hacked by hungry hamburglars, sur Sophos nakedsecurity.