Redazione RHC : 19 agosto 2025 22:27
El investigador BobDaHacker descubrió que la validación de puntos de recompensa de la app de McDonald’s solo se gestionaba del lado del cliente, lo que permitía a los usuarios reclamar artículos gratuitos como nuggets incluso sin suficientes puntos. BobDaHacker reportó el problema, pero un ingeniero de software lo descartó, considerándolo «demasiado esfuerzo», aunque el error se solucionó días después, probablemente después de que el ingeniero lo revisara.
Posteriormente, el investigador investigó a fondo los sistemas de McDonald’s y descubrió vulnerabilidades en Design Hub, una plataforma utilizada para activos de marca por equipos en 120 países. Esta plataforma se basaba en una contraseña del lado del cliente para su protección.
Tras reportar el problema, la empresa realizó una revisión de tres meses para implementar inicios de sesión adecuados para empleados y socios. Sin embargo, persistía una falla importante: simplemente reemplazar «iniciar sesión» por «registrarse» en la URL permitía acceder a un punto final abierto.
La API también proporcionaba orientación a los usuarios sobre los campos faltantes, lo que simplificaba enormemente la creación de cuentas. Aún más preocupante fue el envío de contraseñas por correo electrónico en texto plano, una práctica extremadamente arriesgada en 2025.
Pruebas posteriores confirmaron que el endpoint seguía siendo accesible. Permitiendo el acceso no autorizado a materiales confidenciales destinados exclusivamente a uso interno, declaró BobDaHacker.
Los archivos JavaScript en el Design Hub revelaron más detalles: las claves y secretos de la API de Magicbell expuestos permitieron que los usuarios aparecieran en listas y que se enviaran notificaciones de phishing a través de la infraestructura de McDonald’s. Estas fueron rotadas después del informe. Los índices de búsqueda de Algolia también se incluyeron en listas, lo que expuso datos personales como nombres, direcciones de correo electrónico y solicitudes de acceso.
Los portales de empleados también resultaron vulnerables. Las cuentas básicas de los miembros del equipo de McDonald’s podían acceder a TRT, una herramienta corporativa, para buscar datos globales de los empleados, incluyendo correos electrónicos de ejecutivos, e incluso usar una función de suplantación de identidad.
El El panel de Estándares Globales para Restaurantes (GRS) carecía de autenticación para las funciones de administración, lo que permitía a cualquiera inyectar HTML a través de API. Para demostrarlo, el investigador cambió brevemente la página de inicio a «Te han destrozado» antes de restaurarla.
Otros problemas incluyeron inicios de sesión mal configurados, la exposición de documentos internos a personal de bajo nivel y vulnerabilidades en la aplicación experimental para restaurantes de CosMc, como el uso ilimitado de cupones y la inyección arbitraria de datos de pedidos.
Recordemos que el mes pasado, una grave vulnerabilidad de seguridad en el sistema de contratación basado en IA de McDonald’s expuso los datos personales de 64 millones de solicitantes mediante una seguridad deficiente utilizando la contraseña «123456».
RedazioneEn un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
