Datos de 64 Millones de Solicitudes de Empleo de McDonald’s Expuestos

Más de 64 millones de solicitantes de empleo de McDonald’s en los Estados Unidos pueden haber tenido su información personal expuesta después de que investigadores de ciberseguridad descubrieran serias vulnerabilidades de seguridad en McHire, la plataforma de contratación impulsada por IA del gigante de comida rápida.

Credenciales Débiles Desbloquean Acceso de Administrador

Los investigadores de seguridad Ian Carroll y Sam Curry descubrieron que el panel de administración de McHire, utilizado por los propietarios de restaurantes para gestionar solicitudes, aceptaba credenciales de inicio de sesión débiles por defecto con un nombre de usuario “123456” y una contraseña de “123456”.

Para quienes no lo sepan, McHire, utilizado por el 90% de los franquiciados de McDonald’s, es una plataforma de contratación basada en chatbot impulsada por Paradox.ai. Cuenta con un bot llamado ‘Olivia’ que recopila datos de los solicitantes, preferencias de turnos y realiza pruebas de personalidad como parte del proceso de solicitud de empleo.

Usando las credenciales de prueba, los investigadores iniciaron sesión en una cuenta de restaurante de prueba y encontraron que podían ver e interactuar con datos de chat en vivo entre Olivia y los solicitantes. Descubrieron que una vulnerabilidad de Referencia Directa Insegura de Objeto (IDOR) en una API interna permitía a cualquier persona con una cuenta de McHire acceder a los datos personales y chats de cualquier solicitante simplemente cambiando un número en la API.

“Durante una revisión de seguridad superficial de unas pocas horas, identificamos dos problemas graves: la interfaz de administración de McHire para los propietarios de restaurantes aceptaba las credenciales por defecto 123456:123456, y una referencia directa de objeto insegura (IDOR) en una API interna nos permitió acceder a cualquier contacto y chats que quisiéramos,” escribió Carroll en una publicación sobre la falla.

“Juntos, nos permitieron a nosotros y a cualquier otra persona con una cuenta de McHire y acceso a cualquier bandeja de entrada recuperar los datos personales de más de 64 millones de solicitantes.”

En otras palabras, al modificar el lead_id en una solicitud del navegador—esencialmente aumentando o disminuyendo un número—podían ver información personal de otros solicitantes en todo el sistema. Esto incluía nombres, correos electrónicos, números de teléfono, direcciones de casa, estado de la solicitud de empleo e incluso tokens de inicio de sesión que podrían permitirles hacerse pasar por los solicitantes en el sistema.

Mientras los solicitantes creían que estaban chateando de forma segura, sus conversaciones y datos eran accesibles para cualquiera que encontrara el inicio de sesión de prueba y manipulase la API expuesta.

Respuesta y Medidas Tomadas

Los investigadores de seguridad informaron tanto a Paradox.ai como a McDonald’s el 30 de junio, y respondieron rápidamente. En cuestión de horas, las credenciales por defecto fueron desactivadas, y ambas vulnerabilidades fueron supuestamente corregidas para el 1 de julio.

“Estamos decepcionados por esta vulnerabilidad inaceptable de un proveedor externo, Paradox.ai. Tan pronto como nos enteramos del problema, exigimos a Paradox.ai que remediara el problema de inmediato, y se resolvió el mismo día en que se nos informó,” dijo McDonald en un comunicado sobre la investigación.

Paradox.ai afirmó que la mayoría de los chats expuestos no contenían información personal y enfatizó que no se encontró evidencia de acceso malicioso más allá de los investigadores. Afirmó que solo un puñado de registros sensibles que incluían detalles completos fueron accedidos durante las pruebas.

“Queremos dejar muy claro que, aunque los investigadores pudieron haber tenido acceso brevemente al sistema que contenía todas las interacciones de chat (NO solicitudes de empleo), solo vieron y descargaron cinco chats en total que contenían información de candidatos. Nuevamente, en ningún momento se filtró ningún dato en línea o se hizo público,” escribió Paradox en una actualización de seguridad.

Además, Paradox ha prometido protocolos de seguridad más estrictos, un nuevo programa de recompensas por errores y canales de divulgación más accesibles. Mientras tanto, McDonald’s declaró que está revisando sus asociaciones y prometió aumentar la supervisión de sus proveedores externos y mantener estrictos estándares de protección de datos.