莫名其妙被“白嫖” McDonald's App或存重大漏洞

 

有热心读者向本站爆料，在其一次使用McDonald's App的经历中，发现疑似重大漏洞。

过程大致如下：首先使用App进入下单，选错了餐厅，中止下单，之后是通过店内的自助点餐机完成下单。到了当天下午，已经是六小时后，却收到邮件显示在另一家十万八千里开外的McDonald's完成了一个Mobile Order。有意思的是，邮件中的Order Number（如下图）与之前中止下单的Ref#（如题图）一致！

笔者与这位读者讨论后怀疑，McDonald's App下单流程可能存在漏洞，被一些“内鬼”利用了：当用户进入下单流程时，系统已经生成了Order#并且附带了支付信息，这个Order在close之前，可以在某个节点（如餐厅前台）被拉取修改，并使用附带的支付信息完成订单。就好比可以在机器上先点餐，生成Order再找人工支付。

当然，这笔消费最后找信用卡公司Dispute了。这里就是给读者朋友们提个醒。笔者本人是极少使用App下单的。