Una reciente investigación de ciberseguridad ha revelado una llano brecha de seguridad en McHire, la plataforma de solicitudes de empleo automatizadas utilizada por McDonald’s. Esta vulnerabilidad permitió el acceso no autorizado a conversaciones y datos personales de más de 64 millones de solicitantes en Estados Unidos.
Los investigadores Ian Carroll y Sam Curry descubrieron que la interfaz administrativa del chatbot de McHire tenía una puerta de entrada extremadamente vulnerable: un nombre de usuario y contraseña configurados como “123456”. A través de estas credenciales, los investigadores pudieron acceder al panel de administración del sistema y simular una solicitud de empleo para examinar su funcionamiento desde dentro.
Durante su prueba, los investigadores detectaron que al enviar una solicitud de empleo se generaba una petición HTTP al endpoint /api/lead/cem-xhr, incluyendo un parámetro llamado lead_id. Al modificar este número, descubrieron que podían visualizar transcripciones completas de chats, tokens de sesión y datos personales de otros usuarios que habían aplicado previamente. Este tipo de desliz se conoce como IDOR (Insecure Direct Object Reference), una vulnerabilidad donde una aplicación expone identificadores internos sin probar si el usuario tiene permisos para acceder a esa información.
McHire, mediante su chatbot Olivia, recopila información sensible de los aspirantes como nombre completo, correo electrónico, número de teléfono, dirección, disponibilidad horaria e incluso respuestas a un test de personalidad. La combinación del IDOR con el acceso administrativo sin seguridad permitió a los investigadores y a cualquiera con acceso similar extraer datos personales de millones de candidatos.
Sin embargo, la respuesta de McDonald’s fue rápida y efectiva. La vulnerabilidad fue reportada el 30 de junio y la compañía de comida rápida respondió en menos de una hora, desactivando las credenciales predeterminadas de inmediato. “Nos decepciona profundamente este desliz inaceptable de un tendero externo. Tan pronto como conocimos el problema, ordenamos a Paradox.ai que implementara una solución inmediata”, declaró McDonald’s.
Paradox.ai, el tendero de la herramienta, también actuó rápidamente para corregir la vulnerabilidad y asegurar que no vuelva a ocurrir en el futuro. Además, se comprometieron a realizar una auditoría exhaustiva de sus sistemas para garantizar la seguridad de la información de los usuarios. También aclararon que la información expuesta podría incluir cualquier tipo de interacción con el chatbot, como hacer clic en botones, aunque no se hubieran ingresado datos personales.
Es importante destacar la rápida respuesta y acción tomada por McDonald’s y Paradox.ai ante esta situación. La seguridad de los datos personales de los usuarios es una responsabilidad compartida entre las empresas y sus tenderoes, y es alentador ver que ambas partes tomaron medidas inmediatas para solucionar el problema.
Esta investigación también nos recuerda la importancia de tener contraseñas seguras y únicas para cada plataforma que utilizamos. El uso de contraseñas débiles como “123456” es una práctica peligrosa que puede poner en riesgo nuestra información personal. Es importante tomar medidas para proteger nuestra privacidad en línea, como utilizar contraseñas seguras y cambiarlas regularmente.
En conclusión, la reciente investigación de ciberseguridad en McHire ha puesto de manifiesto la importancia de la seguridad de los datos personales en línea. Gracias a la rápida respuesta de McDonald’s y Paradox.ai, se ha corregido la vulnerabilidad y se han implementado medidas de seguridad adicionales para evitar futuros deslizs. Es responsabilidad de todos tomar medidas para proteger nuestra privacidad en línea y asegurarnos de que nuestras contraseñas sean seguras y únicas.