Imagina que eres una empresa internacional muy famosa y con miles de locales en todo el mundo. Considera que tu modelo de negocio son las franquicias, por lo que debes encargarte de mostrar un gran funcionamiento para atraer inversores. Pero en cambio cualquiera puede hacerse pasar por un alto ejecutivo u ordenar comida gratis.
Hamburguesas gratis
La hacker de sombrero blanco conocida como Bobdahacker descubrió un gran problema en la aplicación para envios de McDonalds. Cuando verificaba los puntos de crédito de una cuenta solo realizaba revisiones de seguridad en el programa cliente. El resultado de tal descuido era que si algún mal intencionado alteraba el programa, podía conseguir hamburguesas gratis sin que el sistema se diera cuenta.
Bobdahcaker advirtió a un responsable de seguridad en McDonald’s sobre las vulnerabilidades de la aplicación. Aunque la respuesta inicial fue que no tenían tiempo para realizar correcciones, la mención de las hamburguesas gratis captó su atención.
Arreglos que no arreglan nada
Ya intrigada por las falencias que había observado la investigadora examinó el sitio web de la compañía dedicado al marketing y las promociones. Allí encontró varias fallas de seguridad. El principal peligro era la posibilidad de crear una cuenta de correo corporativa a partir de la cual un agente mal intencionado podía realizar campañas de suplantación de identidad. Por otro lado, el sistema de autentificación revelaba que usuarios estaban en el sistema, y también era posible acceder a los nombres y correos de todos los que habían pedido entrar al sitio.
Tras la notificación la compañía tardó 3 meses en aplicar correctivos y ninguno de ellos fue verdaderamente efectivo.
A todo nivel
Bobdachaker descubrió que había portales de la empresa dedicados a altos ejecutivos a los que empleados de menor rango también podían acceder debido a una falla en el sistema de permisos OAuth. Esto dejaba expuestos a los documentos con secretos corporativos. Por otro lado, un portal dedicado a las operaciones de las franquicias detalla las reglas que deben seguir quienes las dirigen. Pero el sitio no tenía autorización de administrador, por lo que cualquiera podía en teoría cambiar su contenido.
Tu cajita feliz de documentos corporativos.
La buena noticia es que los problemas en los portales parecen haberse arreglado.
