Vulnerabilidades en la app de McDonald’s comprometen datos de clientes y empleados

byAdmin -
Vulnerabilidades en la app de McDonald’s revelan fallos de seguridad

Vulnerabilidades en la app de McDonald’s comprometen datos de clientes y empleados

Un análisis de seguridad puso en evidencia graves fallos en la aplicación de McDonald’s, donde información de usuarios y personal de la compañía quedó expuesta. Además, se detectaron accesos indebidos a plataformas internas, lo que plantea dudas sobre la solidez de la estrategia digital de la multinacional.

De un truco de puntos a un problema global

Lo que parecía un simple experimento para conseguir productos gratuitos aprovechando el sistema de recompensas de la app derivó en el hallazgo de vulnerabilidades mucho más profundas. El sistema solo verificaba los puntos del lado del cliente, lo que abría la puerta a reclamos fraudulentos de comida gratis.

El riesgo en el “Feel-Good Design Hub”

Uno de los problemas más serios se localizó en el Feel-Good Design Hub, la herramienta central de gestión de marca y marketing usada por McDonald’s en más de 120 países. El acceso inicial se basaba únicamente en una validación poco segura, y tras un intento de refuerzo, surgió otro error: bastaba con modificar la URL sustituyendo “login” por “register” para generar cuentas sin permisos.

El sistema, además, entregaba mensajes que ayudaban a completar registros ilegítimos y enviaba contraseñas por correo en texto sin cifrar, una práctica obsoleta e insegura para una corporación de tal magnitud.

Claves expuestas y riesgo de suplantación

El investigador también localizó claves API incrustadas en el código JavaScript. Este descuido podía facilitar el envío de notificaciones falsas bajo el nombre de McDonald’s o incluso servir como plataforma para campañas de phishing con apariencia oficial, poniendo en jaque la confianza de empleados y consumidores.

Información personal al alcance de cualquiera

La mala configuración del servicio Algolia permitió acceder a índices con datos de usuarios vinculados a solicitudes de acceso. Peor aún, cuentas de nivel básico de empleados lograban entrar a sistemas diseñados para la alta dirección.

El sistema corporativo TRT, reservado para ejecutivos, exponía información de contacto de personal en todo el mundo y ofrecía incluso una función de “impersonación” con detalles completos de trabajadores.

Por su parte, el Global Restaurant Standards (GRS) system, pensado para franquiciados, carecía de protección adecuada en funciones críticas. Gracias a ello, fue posible modificar temporalmente la página de inicio del portal mediante APIs abiertas.

La respuesta oficial

Tras varios reportes y meses de espera, McDonald’s implementó correcciones a las vulnerabilidades señaladas. Sin embargo, la filtración dejó una huella negativa: de un simple intento de obtener “nuggets gratis” se pasó a la revelación de fallos de seguridad básicos que comprometieron datos sensibles de clientes y trabajadores.

Hasta ahora, la compañía no ha publicado un informe detallado sobre la magnitud de los incidentes ni el número exacto de afectados, limitándose a asegurar que los problemas han sido solucionados.

Tags:

Te puede interesar

Ver todo

Sé respetuoso con los demás usuarios y no utilices lenguaje ofensivo o discriminatorio.

Artículo Anterior Artículo Siguiente
Compartir en otras aplicaciones
Copiar Enlace de la entrada