- El investigador encuentra una explotación de pepitas gratuitas expuestas a fallas mucho más profundas dentro de McDonald’s Systems
- Aparentemente, McDonald’s no tiene un camino obvio para que los investigadores denuncien vulnerabilidades
- Un cambio de URL de “Iniciar sesión” a “registrar” el acceso a la cuenta otorgada
Lo que comenzó como un intento de reclamar comida gratis a través del sistema de recompensas de aplicaciones de McDonald’s se convirtió en algo mucho más revelador para un experto.
Un investigador de seguridad conocido como “Bobdahacker” descubrió serias debilidades en los sistemas en línea de McDonald’s mientras intentaba redimir una recompensa por McNuggets gratuito a través de la aplicación móvil de la compañía.
El defecto se profundizó, otorgando acceso al “centro de diseño de bienvenida”, una plataforma central para activos de marketing y materiales de marca utilizados por empleados y agencias en más de 120 países.
Informar los problemas de seguridad de la manera difícil
Los intentos de revelar estos defectos resaltaron otra preocupación: McDonald’s no tenía un camino claro para que los investigadores informaran vulnerabilidades; según Bob, la compañía una vez tuvo una lista de archivos “Security.txt”, pero desapareció solo meses después de ser publicado.
Sin un canal de divulgación directa, Bob tuvo que cavar a través de LinkedIn para los nombres del personal y llamar repetidamente la sede hasta que alguien finalmente respondió.
Este proceso prolongado sugiere que otros investigadores pueden rendirse mucho antes de que sus hallazgos lleguen a las personas adecuadas.
Incluso después de que McDonald’s reemplazó su sistema de contraseña con un inicio de sesión basado en cuenta, quedó otra supervisión.
Al alterar “Iniciar sesión” para “registrarse” en la URL, Bob pudo crear nuevas cuentas con acceso completo.
Peor aún, al registrarse, el sistema envió un correo electrónico con contraseñas de texto sencillo: una práctica desacreditada durante décadas debido a los riesgos que crea para robo de identidad y mal uso.
Si bien las empresas de la escala de McDonald’s enfrentan desafíos únicos en la implementación de sistemas seguros, tales fallas básicas plantean preguntas difíciles sobre las prioridades.
Esta no es la primera vez que McDonald’s se enfrenta al escrutinio de salvaguardas débiles, ya que solo un mes antes, salió a la luz un problema diferente cuando una plataforma que almacena datos privados estaba protegido por la contraseña “123456”.
Cuando los defectos son repetidamente tan fáciles de explotar, plantea dudas sobre si cortafuegos, suites de seguridado incluso revisiones internas de rutina se aplican de manera consistente.
Para una corporación con alcance global, los lapsos de este tipo tienen consecuencias más allá de los activos de marketing, ya que la información de los empleados y los clientes podría estar en juego.
Según los informes, McDonald’s fijó la mayoría de las vulnerabilidades marcadas por Bob, pero la compañía no ha restablecido un canal de informes confiable para futuras revelaciones.
Sin uno, el riesgo sigue siendo que se pasarán por alto o ignoran fallas graves hasta que se exploten.
A través de Hardware Toms
