¡Gigante de la alimentación fue hackeado debido a la simplicidad de su contraseña! Se filtró una lista de 64 millones de personas.

La mundialmente famosa cadena de comida rápida McDonald's ha sido noticia por uno de sus mayores escándalos de seguridad digital hasta la fecha. Se reveló que solo se podía acceder a los paneles de gestión de McDonald's, a través de su sistema de reclutamiento, McHire , con una contraseña simple como "123456". La vulnerabilidad expuso los datos personales de más de 64 millones de solicitantes en todo el mundo.

GRAVE VULNERABILIDAD EN EL SISTEMA MCHIRE

McHire, utilizado por el 90% de los franquiciados de McDonald's, es un sistema desarrollado por Paradox.ai que recopila solicitudes a través de una asistente con inteligencia artificial llamada Olivia. La plataforma registra la información de contacto de los usuarios, sus preferencias de turno y las respuestas a las pruebas de personalidad.

Los investigadores informaron que pudieron acceder al panel de administración del sistema tras solo unos intentos. Descubrieron que al introducir una combinación común como "123456" en los campos de nombre de usuario y contraseña, se accedía directamente al panel a través del enlace "Miembros del equipo Paradox" .

LA CONTRASEÑA NO ERA EL ÚNICO PROBLEMA: NO HABÍA VERIFICACIÓN DE IDENTIDAD

Sin embargo, la verdadera vulnerabilidad de seguridad se ocultaba en una API que se ejecutaba en el backend del sistema "lead_id" . Esta API, utilizada por los desarrolladores en sus pruebas internas, exponía los datos de los usuarios sin ningún mecanismo de autenticación. Esta vulnerabilidad permitía a los usuarios que habían solicitado plaza en McDonald's anteriormente:

Nombre, apellidos, número de teléfono, correo electrónico, dirección

Información del proceso de solicitud y respuestas de la prueba de personalidad

Tokens de verificación específicos del usuario

Historial de chat y todos los mensajes del sistema

Datos tales como fueron accesibles.

UNA FUGA GIGANTE DE 64 MILLONES DE PERSONAS

Según los investigadores, esta vulnerabilidad afectó a más de 64 millones de aplicaciones de McDonald's en todo el mundo. Se informó que la cantidad de datos filtrados fue suficiente para permitir que los usuarios accedieran al sistema en su nombre.

PARADOX.AI: ABIERTO CERRADO, INVESTIGACIÓN INICIADA

Los investigadores que detectaron la situación intentaron contactar con Paradox.ai. Sin embargo, la página oficial de seguridad de la compañía no contaba con canales de denuncia abiertos. El equipo contactó con direcciones de correo electrónico aleatorias para reportar el incidente. Cuando finalmente contactaron con las personas adecuadas, los responsables de Paradox.ai tomaron medidas, anunciando que la vulnerabilidad había sido corregida y que estaban iniciando una revisión exhaustiva del sistema.