la exposicion masiva de datos en mcdonalds cuando 64 millones de curriculums quedan al descubierto

La exposición masiva de datos en McDonald’s: cuando 64 millones de currículums quedan al descubierto

PorCarlos Ribeiro

¿Alguna vez has enviado tu currículum a través de un chatbot de selección de personal? Si lo has hecho en McDonald’s, posiblemente tus datos estuvieron expuestos. Y no estamos hablando de un pequeño descuido, sino de una vulnerabilidad que dejó al descubierto la información personal de más de 64 millones de solicitantes de empleo.

Cuando un simple «123456» abre la puerta a millones de datos personales

Lo que los investigadores de seguridad Ian Carroll y Sam Curry descubrieron en la plataforma McHire de McDonald’s hubiera hecho palidecer a cualquier responsable de ciberseguridad. El sistema de reclutamiento basado en chatbot desarrollado por Paradox.ai tenía dos fallos de seguridad tan básicos que cuesta creerlo:

  1. Mantuvieron las credenciales predeterminadas para una cuenta de prueba: usuario «123456» y contraseña «123456»
  2. No protegieron adecuadamente una API que daba acceso a las conversaciones del chatbot con cada solicitante

Parece sacado de un manual de «cómo NO gestionar la seguridad», ¿verdad? Pero ocurrió en una de las mayores cadenas de restaurantes del mundo.

El acceso que nunca debió existir

La plataforma McHire utiliza autenticación única (SSO) para los gerentes de McDonald’s, lo que en teoría debería ser seguro. Pero los investigadores encontraron una página de inicio de sesión para el equipo de Paradox que aceptaba esas credenciales predeterminadas tan simples.

«De repente nos convertimos en administradores de un restaurante de prueba dentro del sistema», explicaba Carroll. Desde allí, podían ver conversaciones en tiempo real entre los candidatos y el chatbot e incluso intervenir en algunas etapas del proceso de entrevista.

Lo que empezó como una investigación de seguridad rutinaria se convirtió en el descubrimiento de una de las mayores exposiciones de datos de candidatos de empleo de la historia.

La falla IDOR: cuando tu ID te hace vulnerable

El verdadero problema vino al examinar la API que recuperaba la información de los candidatos. Los investigadores identificaron lo que en el mundo de la seguridad llamamos una vulnerabilidad IDOR (Insecure Direct Object Reference).

¿Qué significa esto en cristiano? Que la API usaba un parámetro ID que parecía ser simplemente el número de orden del solicitante. El ID de la aplicación de los investigadores era 64,185,742.

Cuando probaron a reducir este número para ver qué pasaba, se encontraron inmediatamente con los datos personales identificables (PII) de otros solicitantes: nombres, direcciones, números de teléfono, correos electrónicos y hasta tokens de autenticación que permitían iniciar sesión como esos usuarios.

Los datos expuestos: más allá del simple currículum

Esta filtración no se limitó a información básica. La API proporcionaba acceso a:

  • Nombre completo
  • Dirección física
  • Número de teléfono
  • Correo electrónico
  • Estado de la candidatura
  • Tokens de autenticación
  • Mensajes de chat en bruto con el chatbot

Esto último es particularmente preocupante porque en estos chats, los candidatos suelen compartir información adicional que podría ser aún más sensible.

Respuesta y remediación: 24 horas para arreglar el desastre

Hay que reconocer que, una vez notificados, tanto Paradox.ai como McDonald’s actuaron con rapidez. Los investigadores informaron sobre los problemas el 30 de junio y para el 1 de julio ambas vulnerabilidades estaban resueltas.

Las credenciales predeterminadas fueron revocadas el mismo día de la notificación, y Paradox.ai se comprometió a realizar revisiones adicionales para identificar y cerrar cualquier otro vector de ataque.

Es importante aclarar que, según la información disponible, no se produjo una filtración efectiva de los datos en línea. Los investigadores descubrieron la vulnerabilidad pero no hay evidencia de que atacantes maliciosos la hayan explotado previamente.

La paradoja de la seguridad en las plataformas de empleo

Esta situación plantea una pregunta incómoda: ¿cuánta información personal compartimos con sistemas que apenas conocemos cuando buscamos trabajo?

Como profesional de ciberseguridad, me resulta especialmente preocupante que una plataforma utilizada por una empresa del tamaño de McDonald’s tuviera vulnerabilidades tan básicas. Las contraseñas predeterminadas y las fallas IDOR son problemas conocidos desde hace décadas, incluidos en el famoso OWASP Top 10 (la lista de vulnerabilidades web más críticas).

Lecciones para empresas y candidatos

Para las empresas:

  1. Auditar rigurosamente los sistemas de terceros que procesan datos personales
  2. Verificar que no existan credenciales predeterminadas en sistemas de producción
  3. Implementar pruebas de penetración regulares
  4. Establecer programas de divulgación responsable de vulnerabilidades

Para los candidatos:

  1. Compartir solo la información estrictamente necesaria en procesos de selección
  2. Preguntar sobre las políticas de protección de datos de la empresa
  3. Considerar usar direcciones de correo electrónico secundarias para solicitudes de empleo
  4. Estar atentos a posibles usos fraudulentos de sus datos personales

Este tipo de incidents no son aislados. En el contexto actual, donde las empresas recopilan cantidades masivas de datos, seguimos viendo fallos de seguridad básicos que ponen en riesgo la privacidad de millones de personas.

Y aunque McDonald’s y Paradox.ai respondieron adecuadamente cuando se les notificó, queda la pregunta: ¿cuántas vulnerabilidades similares siguen sin descubrir en las plataformas que usamos a diario?

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *