- Un investigador descubre un exploit gratuito que expone fallos mucho más graves en los sistemas de McDonald's
- Al parecer, McDonald's no cuenta con un canal claro para que los investigadores informen de las vulnerabilidades
- Un cambio en la URL de «login» a «register» permitía acceder a la cuenta
Lo que comenzó como un intento de conseguir comida gratis a través del sistema de recompensas de la aplicación de McDonald's se convirtió en algo mucho más revelador para un experto.
Un investigador de seguridad conocido como «BobDaHacker» descubrió graves deficiencias en los sistemas online de McDonald's mientras intentaba canjear una recompensa por McNuggets gratis a través de la aplicación móvil de la empresa.
La falla era profunda, ya que permitía acceder al «Feel-Good Design Hub», una plataforma central para activos de marketing y materiales de marca utilizada por empleados y agencias en más de 120 países.
Notificando problemas de seguridad por las malas
Los intentos por revelar estas vulnerabilidades pusieron de manifiesto otra preocupación: McDonald's no contaba con un canal claro para que los investigadores informaran sobre estos problemas. Según Bob, la empresa tenía un archivo llamado «security.txt» con una lista de contactos, pero desapareció pocos meses después de su publicación.
Al no existir un canal de divulgación directo, Bob tuvo que buscar los nombres del personal en LinkedIn y llamar repetidamente a la sede central hasta que alguien finalmente respondió.
Este largo proceso sugiere que otros investigadores pueden rendirse mucho antes de que sus hallazgos lleguen a las personas adecuadas.
Incluso después de que McDonald's sustituyera su sistema de contraseñas por un inicio de sesión basado en cuentas, seguía existiendo otro descuido.
Al cambiar «login» por «register» en la URL, Bob pudo crear nuevas cuentas con acceso completo.
Peor aún, al registrarse, el sistema enviaba por correo electrónico contraseñas en texto plano, una práctica desacreditada desde hace décadas debido a los riesgos que conlleva en cuanto a robo de identidad y uso indebido.
Si bien las empresas del tamaño de McDonald's se enfrentan a retos únicos a la hora de implementar sistemas seguros, estos fallos básicos plantean difíciles preguntas sobre las prioridades.
No es la primera vez que McDonald's se enfrenta a un escrutinio por sus débiles medidas de seguridad, ya que solo un mes antes salió a la luz otro problema cuando se descubrió que una plataforma que almacenaba datos privados estaba protegida por la contraseña «123456».
Cuando los fallos son tan fáciles de explotar repetidamente, surgen dudas sobre si se aplican de forma sistemática los cortafuegos, las suites de seguridad o incluso las revisiones internas rutinarias.
Para una empresa con alcance global, este tipo de fallos tienen consecuencias que van más allá de los activos de marketing, ya que la información de los empleados y los clientes podría estar en peligro.
Según se informa, McDonald's corrigió la mayoría de las vulnerabilidades señaladas por Bob, pero la empresa no ha restablecido un canal de notificación fiable para futuras revelaciones.
Sin él, sigue existiendo el riesgo de que se pasen por alto o se ignoren fallos graves hasta que se aprovechen.
Fuente: Toms Hardware
También te gustará...
- Las 7 características más importantes que debes tener en cuenta al elegir un portátil para la vuelta al cole
- Mejores móviles baratos en 2025: con estos teléfonos disfrutarás de una gran experiencia y no te costarán mucho
- La fecha de lanzamiento del iPhone 17 es oficial, ya que Apple envía invitaciones para el evento "Awe dropping". Aquí hay 5 cosas que puedes esperar.
