Redazione RHC : 19 agosto 2025 22:27
El investigador BobDaHacker descubrió que la validación de puntos de recompensa de la app de McDonald’s solo se gestionaba del lado del cliente, lo que permitía a los usuarios reclamar artículos gratuitos como nuggets incluso sin suficientes puntos. BobDaHacker reportó el problema, pero un ingeniero de software lo descartó, considerándolo «demasiado esfuerzo», aunque el error se solucionó días después, probablemente después de que el ingeniero lo revisara.
Posteriormente, el investigador investigó a fondo los sistemas de McDonald’s y descubrió vulnerabilidades en Design Hub, una plataforma utilizada para activos de marca por equipos en 120 países. Esta plataforma se basaba en una contraseña del lado del cliente para su protección.
Tras reportar el problema, la empresa realizó una revisión de tres meses para implementar inicios de sesión adecuados para empleados y socios. Sin embargo, persistía una falla importante: simplemente reemplazar «iniciar sesión» por «registrarse» en la URL permitía acceder a un punto final abierto.
La API también proporcionaba orientación a los usuarios sobre los campos faltantes, lo que simplificaba enormemente la creación de cuentas. Aún más preocupante fue el envío de contraseñas por correo electrónico en texto plano, una práctica extremadamente arriesgada en 2025.
Pruebas posteriores confirmaron que el endpoint seguía siendo accesible. Permitiendo el acceso no autorizado a materiales confidenciales destinados exclusivamente a uso interno, declaró BobDaHacker.
Los archivos JavaScript en el Design Hub revelaron más detalles: las claves y secretos de la API de Magicbell expuestos permitieron que los usuarios aparecieran en listas y que se enviaran notificaciones de phishing a través de la infraestructura de McDonald’s. Estas fueron rotadas después del informe. Los índices de búsqueda de Algolia también se incluyeron en listas, lo que expuso datos personales como nombres, direcciones de correo electrónico y solicitudes de acceso.
Los portales de empleados también resultaron vulnerables. Las cuentas básicas de los miembros del equipo de McDonald’s podían acceder a TRT, una herramienta corporativa, para buscar datos globales de los empleados, incluyendo correos electrónicos de ejecutivos, e incluso usar una función de suplantación de identidad.
El El panel de Estándares Globales para Restaurantes (GRS) carecía de autenticación para las funciones de administración, lo que permitía a cualquiera inyectar HTML a través de API. Para demostrarlo, el investigador cambió brevemente la página de inicio a «Te han destrozado» antes de restaurarla.
Otros problemas incluyeron inicios de sesión mal configurados, la exposición de documentos internos a personal de bajo nivel y vulnerabilidades en la aplicación experimental para restaurantes de CosMc, como el uso ilimitado de cupones y la inyección arbitraria de datos de pedidos.
Recordemos que el mes pasado, una grave vulnerabilidad de seguridad en el sistema de contratación basado en IA de McDonald’s expuso los datos personales de 64 millones de solicitantes mediante una seguridad deficiente utilizando la contraseña «123456».
RedazioneEl 27 de octubre se celebró en el Ministerio de Asuntos Exteriores en Beijing el Foro del Salón Azul sobre el tema «Mejorar la gobernanza global y construir una comunidad con un futuro compartido p...
Hackers del gobierno vulneraron una planta de fabricación de componentes para armas nucleares en Estados Unidos explotando vulnerabilidades de Microsoft SharePoint. El incidente afectó al Campus de ...
En los últimos días, algunos usuarios han recibido una notificación diciendo que sus dispositivos Gemini Advanced han sido «actualizados del modelo de la generación anterior al 3.0 Pro, el modelo...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta global con respecto a la explotación activa de una falla crítica de ejecución remota de c�...
El lunes 20 de octubre, el Canal 4 transmitió un documental completo presentado por un presentador de televisión creativo impulsado completamente por inteligencia artificial. » No soy real. Por pri...
