Underc0de - La Casa de los Informáticos

Una grave vulnerabilidad de seguridad ha sido descubierta en McHire, la plataforma impulsada por inteligencia artificial que McDonald's utiliza para gestionar solicitudes de empleo en sus restaurantes. El fallo, identificado por los investigadores de ciberseguridad Ian Carroll y Sam Curry, expuso transcripciones de chats, tokens de sesión y datos personales de más de 64 millones de postulaciones en Estados Unidos.

¿Qué es McHire y cómo funciona?

McHire es una plataforma desarrollada por la empresa Paradox.ai, utilizada por aproximadamente el 90% de los franquiciados de McDonald's. Su propósito es simplificar el proceso de contratación mediante un chatbot conversacional llamado Olivia, que interactúa con los aspirantes y recopila información como:

• Nombre completo
• Dirección de correo electrónico
• Número telefónico
• Dirección residencial
• Disponibilidad laboral
• Resultados de una prueba de personalidad

Este sistema ha sido adoptado masivamente debido a su eficiencia, pero la reciente brecha de seguridad pone en duda su fiabilidad en términos de protección de datos.

Detalles técnicos de la vulnerabilidad

Los investigadores descubrieron que la interfaz de administración de McHire vinculada a una franquicia de prueba utilizaba credenciales extremadamente débiles: el nombre de usuario y la contraseña eran ambos "123456". Una vez autenticados, Carroll y Curry enviaron una solicitud de empleo simulada a través del chatbot Olivia para estudiar cómo se manejaban los datos.

Durante la prueba, observaron que las solicitudes HTTP se enviaban a un punto final de API:
/api/lead/cem-xhr,

utilizando un parámetro lead_id (identificador del solicitante). Al modificar este número —incrementándolo o reduciéndolo— descubrieron que podían acceder a otras transcripciones de chat y datos confidenciales de postulantes reales, sin ninguna validación de permisos.

Este tipo de vulnerabilidad es conocido como IDOR (Insecure Direct Object Reference), una falla común pero crítica que ocurre cuando una aplicación expone identificadores internos sin verificar si el usuario tiene permiso para acceder a esos datos.

Citar"Durante una revisión superficial de seguridad de solo unas horas, identificamos dos problemas graves: el uso de credenciales predeterminadas en el panel de administración, y una referencia directa de objeto insegura en una API interna que nos permitía acceder a cualquier contacto y chat que quisiéramos", explicó Carroll.

¿Qué datos estuvieron expuestos?

El acceso indebido permitía obtener:

• Transcripciones completas del chat entre el candidato y el chatbot Olivia
• Tokens de sesión
• Información personal proporcionada por los usuarios
• Interacciones como clics en botones, incluso si no se ingresó información adicional

Aunque Paradox.ai aclaró que no todos los registros contenían datos personales, el riesgo fue considerable debido al volumen masivo de solicitudes comprometidas.

Línea de tiempo y respuesta

• 30 de junio de 2025: Los investigadores reportaron la falla a McDonald's y Paradox.ai.
• 1 hora después: McDonald's reconoció el informe y ordenó desactivar las credenciales predeterminadas.
• Ese mismo día: Paradox aplicó una solución inmediata para mitigar la vulnerabilidad IDOR.

En declaraciones a Wired, McDonald's expresó su descontento:

Citar"Estamos decepcionados por esta vulnerabilidad inaceptable de un proveedor externo. Tan pronto como nos enteramos del problema, exigimos su corrección inmediata. Paradox resolvió la falla el mismo día en que fue reportada."

Medidas tomadas y próximos pasos

Paradox.ai ha implementado medidas adicionales para reforzar la seguridad de la plataforma y evitar que este tipo de incidentes vuelva a ocurrir. La empresa también anunció una revisión exhaustiva de su infraestructura, así como mejoras en los mecanismos de autenticación y autorización.

Además, se aclaró que las "64 millones de solicitudes" no equivalen a 64 millones de personas únicas, sino al número total de interacciones o intentos de aplicación registrados por la plataforma.

Reflexiones sobre la ciberseguridad en plataformas de empleo

Este incidente pone en relieve varios temas críticos:

• La importancia de evitar credenciales predeterminadas en entornos de producción
• La necesidad de implementar validación de acceso robusta en APIs
• La responsabilidad compartida entre proveedores tecnológicos y las empresas que los contratan
• La urgencia de realizar auditorías de seguridad periódicas, incluso para herramientas de automatización

En fin, la vulnerabilidad descubierta en McHire subraya los peligros de una configuración inadecuada de seguridad, especialmente en plataformas que manejan información altamente sensible. Aunque la falla fue mitigada con rapidez, su existencia inicial demuestra la necesidad de mayor vigilancia, control de calidad y auditorías independientes para garantizar la privacidad de los usuarios.

Tanto las empresas tecnológicas como los grandes corporativos deben comprometerse a implementar estándares estrictos de ciberseguridad. En un mundo donde cada clic puede significar una exposición de datos, no hay lugar para contraseñas como "123456".

Fuente: https://www.bleepingcomputer.com/