Un hacker quería recibir nuggets gratis y acabó accediendo a una plataforma de empleados de McDonald"s Computerhoy.20minutos.es

Un hacker ha confirmado que es posible acceder a una plataforma de contactos privada a través de la aplicación móvil de McDonalds, algo que ha descubierto cuando en realidad quería engañar al sistema para recibir nuggets de pollo de manera gratuita a través de un sistema de recompensas de la app.

Conocido como BobDaHacker, este investigador pudo acceder a una plataforma de empleados y franquiciados de McDonald's llamada Feel-Good Design Hub o Centro de Diseño para el Bienestar, en la que se disponen activos de marketing y otros materiales de la marca y que utilizan empleados y agencias de más de 120 países.

Lo único que tuvo que hacer este experto en ciberseguridad para entrar a este sistema aparentemente seguro, en el que no solo se almacenan datos de personas sino también documentos corporativos, fue modificar un comando de acceso al sistema. Y fue tan sencillo como sustituir una palabra por otra.

Concretamente, cambió el de Iniciar sesión (donde los empleados indican su nombre de usuario y contraseña) por Registrarse en la url de la plataforma, gracias a lo cual pudo crear nuevas cuentas con acceso completo a dicho moodle de trabajadores y otras personas relacionadas con McDonald's.

Tras registrarse, el sistema le envió una contraseña de texto simple para continuar con la identificación por correo electrónico, un formato muy desacreditado frente a otras soluciones de seguridad y cifrado debido, prácticamente abandonado desde hace años que es altamente inseguro y vulnerable a ataques de piratería.

Sin canal para notificar vulnerabilidades

BobDaHacker también ha explicado que a este problema de acceso ilimitado de datos se suma otro también preocupante como es la inexistencia de un canal estable destinado a informar sobre este tipo de vulnerabilidades a la empresa... ni mucho menos un programa de recompensas por informar de estos errores, como sí sucede en otras plataformas.

Al parecer lo hubo en algún momento, ya que según BobDaHacker encontró un archivo identificado como security.txt con una lista de contactos en la plataforma vulnerada. Sin embargo, ya había desaparecido al descubrir la falla, así que tuvo que buscarla en Wayback Machine, pero al encontrarla estaba desactualizada.

A la desesperada, tuvo que buscar los nombres del personal dedicado a este área a través de LinkedIn para ponerse en contacto con ellos. Tampoco hubo respuesta por esta parte, de manera que se entretuvo en llamar repetidamente a la sede central de McDonald's, indicando los nombres y apellidos de estas personas de manera aleatoria, hasta que alguien, finalmente, respondió y le indicó dónde reportar estos problemas.

Según el hacker, se trata de un procedimiento demasiado lento y complicado, que podría empujar a otros investigadores a desestimar la idea de transmitir el hallazgo de nuevas fallas próximamente, lo que vuelve a poner en evidencia los sistemas de seguridad deficientes con los que cuenta la popular compañía.

No obstante, este hacker ha indicado que, si bien es cierto que no se ha establecido un canal de comunicación directo con la compañía para informar de este tipo de vulnerabilidades, McDonald's ha corregido la mayoría de fallas que él mismo ha advertido, aunque ha tardado tres meses en implementar un sistema adecuado para que no se vuelva a producir un incidente similar.

En este sentido, desde Tom's Hardware han recordado que no es la primera vez que la marca de comida rápida se enfrenta a un escrutinio por sus débiles medidas de seguridad, ya que hace solo un mes se descubrió una plataforma de la marca que almacenaba datos privados con una nada difícil contraseña de seguridad: 123456.