Redazione RHC : 19 agosto 2025 22:27
El investigador BobDaHacker descubrió que la validación de puntos de recompensa de la app de McDonald’s solo se gestionaba del lado del cliente, lo que permitía a los usuarios reclamar artículos gratuitos como nuggets incluso sin suficientes puntos. BobDaHacker reportó el problema, pero un ingeniero de software lo descartó, considerándolo «demasiado esfuerzo», aunque el error se solucionó días después, probablemente después de que el ingeniero lo revisara.
Posteriormente, el investigador investigó a fondo los sistemas de McDonald’s y descubrió vulnerabilidades en Design Hub, una plataforma utilizada para activos de marca por equipos en 120 países. Esta plataforma se basaba en una contraseña del lado del cliente para su protección.
Tras reportar el problema, la empresa realizó una revisión de tres meses para implementar inicios de sesión adecuados para empleados y socios. Sin embargo, persistía una falla importante: simplemente reemplazar «iniciar sesión» por «registrarse» en la URL permitía acceder a un punto final abierto.
La API también proporcionaba orientación a los usuarios sobre los campos faltantes, lo que simplificaba enormemente la creación de cuentas. Aún más preocupante fue el envío de contraseñas por correo electrónico en texto plano, una práctica extremadamente arriesgada en 2025.
Pruebas posteriores confirmaron que el endpoint seguía siendo accesible. Permitiendo el acceso no autorizado a materiales confidenciales destinados exclusivamente a uso interno, declaró BobDaHacker.
Los archivos JavaScript en el Design Hub revelaron más detalles: las claves y secretos de la API de Magicbell expuestos permitieron que los usuarios aparecieran en listas y que se enviaran notificaciones de phishing a través de la infraestructura de McDonald’s. Estas fueron rotadas después del informe. Los índices de búsqueda de Algolia también se incluyeron en listas, lo que expuso datos personales como nombres, direcciones de correo electrónico y solicitudes de acceso.
Los portales de empleados también resultaron vulnerables. Las cuentas básicas de los miembros del equipo de McDonald’s podían acceder a TRT, una herramienta corporativa, para buscar datos globales de los empleados, incluyendo correos electrónicos de ejecutivos, e incluso usar una función de suplantación de identidad.
El El panel de Estándares Globales para Restaurantes (GRS) carecía de autenticación para las funciones de administración, lo que permitía a cualquiera inyectar HTML a través de API. Para demostrarlo, el investigador cambió brevemente la página de inicio a «Te han destrozado» antes de restaurarla.
Otros problemas incluyeron inicios de sesión mal configurados, la exposición de documentos internos a personal de bajo nivel y vulnerabilidades en la aplicación experimental para restaurantes de CosMc, como el uso ilimitado de cupones y la inyección arbitraria de datos de pedidos.
Recordemos que el mes pasado, una grave vulnerabilidad de seguridad en el sistema de contratación basado en IA de McDonald’s expuso los datos personales de 64 millones de solicitantes mediante una seguridad deficiente utilizando la contraseña «123456».
RedazioneMientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la apari...
Martes de parches de agosto: Microsoft publica actualizaciones de seguridad que corrigen 107 vulnerabilidades en los productos de su ecosistema. La actualización incluye correcciones para 90 vuln...
Como parte de las actualizaciones de seguridad del martes de parches de agosto de 2025, se ha corregido una vulnerabilidad crítica de ejecución remota de código (RCE) en el software de ...
29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el ...
«El sistema de defensa militar Skynet entrará en funcionamiento el 4 de agosto de 1997. Comenzará a autoeducarse, aprendiendo a un ritmo exponencial, y adquirirá consciencia de s&#...
