PUBG
Simdualero de Oro
Contraseña ‘123456’ expone datos de 64 millones en la plataforma de empleo de McDonald’s
Una grave brecha de seguridad ha sido detectada en McHire, la plataforma automatizada que McDonald’s utiliza para gestionar solicitudes laborales. Esta vulnerabilidad permitió el acceso sin autorización a información sensible de más de 64 millones de aspirantes en Estados Unidos.
Acceso administrativo con credenciales ridículamente débiles
Los investigadores de ciberseguridad Ian Carroll y Sam Curry descubrieron que el chatbot de McHire, desarrollado por Paradox.ai y presente en el 90% de las franquicias de McDonald’s, tenía una puerta trasera alarmante: el panel administrativo estaba protegido con un usuario y contraseña extremadamente básicos, “123456”.
Gracias a estas credenciales, pudieron ingresar al sistema y simular solicitudes para comprender el funcionamiento interno de la plataforma.
Explotación de un fallo IDOR que permitió acceder a datos ajenos
Durante sus pruebas, los expertos observaron que al enviar una solicitud se hacía una petición HTTP con un parámetro llamado “lead_id”. Cambiando este valor numérico, lograron acceder a transcripciones completas de conversaciones, tokens de sesión e información personal de otros usuarios.
Este tipo de vulnerabilidad es conocida como IDOR (Insecure Direct Object Reference), y ocurre cuando una aplicación expone identificadores internos sin validar que el usuario tenga permiso para acceder a ellos.
En el transcurso de su prueba, los investigadores observaron que al enviar una solicitud de empleo se realizaba una petición HTTP al endpoint
/api/lead/cem-xhr, la cual contenía un parámetro denominado lead_id. En dicha prueba, el valor de este identificador era 64.185.742.Información sensible expuesta masivamente
El chatbot de McHire, llamado Olivia, recopila datos muy detallados de los candidatos, incluyendo nombre completo, correo electrónico, teléfono, dirección, disponibilidad y respuestas a tests de personalidad.
La combinación de acceso administrativo sin protección y la falla de tipo IDOR permitió a cualquiera con estas credenciales obtener datos personales de millones de solicitantes.
Respuesta inmediata y corrección del fallo
La vulnerabilidad fue reportada el 30 de junio tanto a McDonald’s como a Paradox.ai. La compañía de comida rápida respondió en menos de una hora, desactivando las credenciales predeterminadas y ordenando una solución urgente.
McDonald’s expresó su decepción ante el fallo por parte del proveedor externo y reafirmó su compromiso con la seguridad de los datos de sus usuarios.
Paradox.ai implementa auditorías y medidas reforzadas
Paradox.ai corrigió el problema el mismo día y afirmó haber mitigado completamente la vulnerabilidad. Además, anunció que están realizando una revisión exhaustiva de sus sistemas para impedir que incidentes similares se repitan.
También aclararon que la información expuesta incluye cualquier interacción con el chatbot, incluso acciones como hacer clic en botones, aunque no se hayan introducido datos personales.
La lección para la seguridad: evitar contraseñas débiles y validar permisos
Este incidente subraya la importancia crítica de:
- No utilizar contraseñas obvias o predeterminadas en sistemas administrativos.
- Implementar controles estrictos que verifiquen permisos antes de conceder acceso a datos sensibles.
- Realizar auditorías constantes para detectar y corregir vulnerabilidades como IDOR.
Una falla tan básica puede tener consecuencias masivas, exponiendo información personal de millones de personas.
Última edición por un moderador:
#SeguridadPrimero
