McDonald's India heeft door een kwetsbaarheid in een gebruikte API (Application Programming Interface) gegevens van klanten en bezorgers gelekt. Daarnaast was het mogelijk om bestellingen van klanten te kapen, bestellingen te plaatsen voor slechts één cent, feedback op de bestellingen van andere klanten te geven, gegevens van elke bestelling te bekijken en facturen te downloaden. Het ging om naam, e-mailadres en telefoonnummers van klanten. Voor bezorgers ging het ook om hun kenteken en profielfoto.

Beveiligingsonderzoeker Eaton Zveare ontdekte dat de API die McDonald's West en Zuid India gebruikt kwetsbaar was voor Insecure Direct Object Reference (IDOR). Het aanpassen van alleen het Order ID was voldoende om informatie van andere bestellingen te bekijken. IDOR doet zich bijvoorbeeld voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole.

Daarnaast ontdekte Zveare een manier om bij het plaatsen van online bestellingen de totaalprijs aan te passen alsmede al geplaatste bestellingen door anderen te kapen en op een ander adres te laten bezorgen. De onderzoeker waarschuwde McDonald's op 20 juli. Op 29 september waren alle problemen verholpen en kreeg Zveare een cadeaubon van 240 dollar. McDonald's liet de onderzoeker weten dat er geen misbruik van de API-kwetsbaarheden is waargenomen.