Siempre hemos hablado de la importancia de utilizar contraseñas fuertes, robustas y que protejan realmente nuestras cuentas en Internet. En esta ocasión, nos hacemos eco de lo que ha ocurrido con millones de chats de McDonald’s, utilizados para solicitantes de empleo. El uso de una clave débil en el panel de administración de ese chatbot, ha provocado que los chats queden expuestos.
Concretamente, han sido chats de más de 64 millones de solicitudes de empleo. El problema ha estado en McHire, que es la plataforma utilizada para estos chatbots. Las credenciales eran las peores que se pueden poner: nombre de usuario “123456” y la contraseña “123456”. Un fallo grave, teniendo en cuenta la cantidad de personas que usan esa plataforma para solicitar trabajo en McDonald’s. Es importante siempre comprobar si se ha filtrado el correo y contraseña, ya que es algo que puede ocurrir.
Millones de chats expuestos
Este descubrimiento lo han realizado los investigadores de seguridad Ian Carroll y Sam Curry. El propio Carroll ha explicado todo en un artículo. Descubrieron que el panel de administración de McHire, el chatbot para solicitudes de empleo, utilizaba credenciales débiles. De hecho, la peor contraseña (aunque sigue siendo una de las más utilizadas) posible: “123456”.
McHire es una plataforma desarrollada por Paradox.ai y es utilizado por 9 de cada 10 franquiciados de McDonald’s, por lo que el impacto de cualquier problema que haya, va a ser grande. Es lo que ha ocurrido con esta exposición, que ha afectado a decenas de millones de chats.
En el proceso de solicitud previo, los interesados tienen que poner su nombre, correo electrónico, número de teléfono, domicilio o disponibilidad. Esto sirve para iniciar sesión y, posteriormente, continuar con el proceso de solicitud. Los investigadores de seguridad, al probar este proceso, observaron que las solicitudes HTTP se enviaban a un endpoint de API en /api/lead/cem-xhr, que utilizaba el parámetro lead_id, que en su caso era 64 185 742.
Lo que hicieron, una vez vieron eso, es darse cuenta de que, al aumentar y disminuir el parámetro lead_id, podían exponer las transcripciones completas de los chats, los tokens de sesión y los datos personales de solicitantes de empleo reales que habían solicitado empleo previamente en McHire.
A este tipo de fallo se le conoce como IDOR (Insecure Direct Object Reference). Para entenderlo con una analogía sencilla, imagina que un hotel deja las llaves de todas las habitaciones en un mostrador público, y el recepcionista se las entrega a cualquiera que simplemente pida un número de habitación, sin comprobar si es el huésped correcto. Aquí ocurrió lo mismo: la API permitía acceder al chat de cualquier candidato con solo cambiar el número de lead_id en la URL, sin validar los permisos.
Credenciales débiles
Después de realizar una revisión de seguridad superficial, los investigadores se dieron cuenta de que la interfaz de administración de McHire para propietarios de restaurantes aceptaba las credenciales predeterminadas 123456:123456. Esto, unido al fallo IDOR, hizo que pudieran acceder a todos los contactos y chats.
Cualquier persona con una cuenta de McHire y acceso a cualquier bandeja de entrada, podrían recuperar los datos personales de millones de solicitantes. Al aumentar o disminuir el número de lead_id en una solicitud, se devolvieron datos confidenciales de otros solicitantes, ya que la API no comprobó si el usuario tenía acceso a ellos.
Tras comprobar este problema, los investigadores de seguridad se pusieron en contacto con Paradox.ai y con McDonald’s y se resolvió el mismo día. Todo fue bastante rápido, como declararon desde McDonald’s en un comunicado en Wired.
Esto nos deja un aprendizaje: utiliza siempre contraseñas seguras. Es un error usar claves predeterminadas o ejemplos como este, “123456”, ya que eso va a ser lo que primero pruebe un hipotético atacante. Asegúrate de crear contraseñas fuertes, que tengan letras (mayúsculas y minúsculas), números y otros símbolos especiales. Puedes optar por generadores de contraseñas.
0 Commentaires