Una serie de vulnerabilidades alarmantes en la infraestructura digital de McDonald’s, desde exploits de alimentos gratuitos hasta datos ejecutivos expuestos.
Lo que comenzó como una simple aplicación de aplicación se convirtió en un juicio de meses de duración, culminando en el investigador, Bobdahacker, llamando a la sede de la compañía mientras mencionaba a los empleados de seguridad que encontró en LinkedIn. Las soluciones se implementaron solo después de esfuerzos extraordinarios para ser escuchados.
Todo comenzó inocentemente con la aplicación móvil McDonald’s. El investigador descubrió que la validación de puntos de recompensa se manejó solo del lado del cliente, lo que permitió a los usuarios reclamar elementos gratuitos como pepitas sin suficientes puntos.
Bobdahacker intenta informar que esto llevó a un ingeniero de software a descartarlo como “demasiado ocupado”, aunque el error fue parcheado días después, posiblemente después de que el ingeniero lo investigó él mismo.
Exploró las profundidades de los sistemas de McDonald’s y descubrió vulnerabilidades en el Hub Design, una plataforma utilizada para activos de marca por equipos en 120 países. Esta plataforma se basó en una contraseña del lado del cliente para su protección.
Después de informar este problema, la compañía realizó una revisión de tres meses para implementar inicios de sesión adecuados para empleados y socios. Sin embargo, se mantuvo una falla significativa: simplemente cambiando “inicio de sesión” a “registrarse” en la URL, se puede acceder a un punto final abierto.
La API también proporcionó orientación a los usuarios en los campos faltantes, lo que hace que la creación de la cuenta sea alarmantemente fácil. Aún más preocupante, se enviaron contraseñas por correo electrónico en texto sin formato, una práctica extremadamente arriesgada en 2025.
Las pruebas posteriores confirmaron que el punto final todavía era accesible, lo que permitió el acceso no autorizado a materiales confidenciales destinados solo a uso interno, Bobdahacker dicho.
Los archivos de JavaScript en el centro de diseño revelaron más: las claves y los secretos de la API MagicBell expuesta permitieron a los usuarios de la lista y el envío de notificaciones de phishing a través de la infraestructura de McDonald’s. Estos fueron rotados después del informe. Los índices de búsqueda de Algolia también fueron listables, exponiendo datos personales como nombres, correos electrónicos y solicitudes de acceso.
Los portales de los empleados demostraron ser igualmente vulnerables. Las cuentas de miembros de la tripulación básica podrían acceder a TRT, una herramienta corporativa, para buscar detalles de los empleados globales, incluidos los correos electrónicos de los ejecutivos, e incluso usar una función de “suplantación”.
El panel Global Restaurant Standards (GRS) carecía de autenticación para las funciones de administración, permitiendo que cualquiera inyecte HTML a través de API. Para demostrar, el investigador alteró brevemente la página de inicio a “Has sido derribado” antes de volver a invertirla.
Otros problemas incluyeron acceso a stravito mal configurado, exponer documentos internos al personal de bajo nivel y hazañas en la aplicación de restaurantes experimentales de COSMC, como canales de cupón ilimitados e inyección de datos de pedidos arbitrarios.
El mes pasado, una severa vulnerabilidad de seguridad en la contratación de AI de McDonald’s expuso 64 millones de datos personales de los solicitantes de empleo a través de la seguridad débil utilizando la contraseña “123456”.
Después, la mayoría de las vulnerabilidades se abordaron, aunque algunas, como el punto final de registro, pueden persistir. Trágicamente, un colaborador fue despedido por “preocupaciones de seguridad” relacionadas. McDonald’s aún no ha establecido un programa de recompensa de errores o un mecanismo de informes confiables.
El investigador ofrece asesoramiento: mantenga una seguridad actualizada. Este episodio subraya los peligros de la seguridad laxa en las corporaciones globales, y las duraciones van a protegerlos.
Detonar de forma segura archivos sospechosos para descubrir amenazas, enriquecer sus investigaciones y reducir el tiempo de respuesta de incidentes. Comience con una prueba de Sandbox Anyrun →
