AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Vulnerabilidad en la Plataforma McHire expone datos de 64 millones de candidatos en EE.UU.**

admin

### Introducción

El sector de la ciberseguridad vuelve a poner el foco en la protección de datos personales tras el descubrimiento de una grave vulnerabilidad en McHire, la plataforma basada en chatbot que utiliza McDonald’s para la gestión de procesos de selección de personal en Estados Unidos. Investigadores especializados han alertado de que esta brecha ha dejado expuestos los historiales de conversación de más de 64 millones de aspirantes a puestos de trabajo, lo que supone uno de los incidentes de seguridad más relevantes del sector de recursos humanos en los últimos años.

### Contexto del Incidente o Vulnerabilidad

McHire es una solución SaaS gestionada por Paradox.ai que integra chatbots automatizados para facilitar y agilizar los procesos de reclutamiento y entrevistas online en McDonald’s. La plataforma se ha convertido en la principal vía de acceso laboral para la cadena de restauración en EE.UU., gestionando millones de solicitudes anuales. El incidente salió a la luz tras el análisis de investigadores independientes que detectaron una incorrecta implementación de controles de acceso en la API de la aplicación, permitiendo la consulta no autorizada de historiales de chat de los candidatos.

La brecha fue reportada a McDonald’s y Paradox.ai, quienes confirmaron la exposición y procedieron a su subsanación, aunque se desconoce el tiempo exacto durante el que la vulnerabilidad estuvo presente y si fue explotada de manera activa por actores maliciosos.

### Detalles Técnicos

La vulnerabilidad principal, catalogada como **CVE-2024-XXXX** (identificador pendiente de asignación oficial), se encontraba en la API RESTful de McHire. El error residía en la ausencia de validación adecuada de tokens de autenticación y autorización en los endpoints responsables de servir historiales de chat entre candidatos y el chatbot de la plataforma.

#### Vectores de ataque

– **Acceso directo a endpoints expuestos:** Un atacante podía manipular las peticiones HTTP para consultar cualquier chat almacenado simplemente alterando parámetros en la URL o el cuerpo de la solicitud.
– **Falta de control de sesión:** No se implementaban mecanismos robustos basados en OAuth2/JWT para limitar el acceso a los recursos bajo el principio de mínimo privilegio.

#### Técnicas y tácticas MITRE ATT&CK

– **Initial Access (T1190 – Exploit Public-Facing Application):** El atacante explota la interfaz expuesta de la API.
– **Collection (T1119 – Automated Collection):** Uso de scripts automatizados para recopilar grandes volúmenes de conversaciones.
– **Exfiltration (T1041 – Exfiltration Over C2 Channel):** Posibilidad de extracción masiva de datos sensibles.

#### Indicadores de Compromiso (IoC)

– Actividad anómala de peticiones GET/POST en endpoints de chat.
– Logs con IPs externas realizando peticiones no autorizadas a la API.
– Incremento en el volumen de consultas a recursos de chat fuera de horarios habituales.

No se han publicado exploits funcionales en repositorios públicos como Metasploit, pero la simplicidad del fallo facilita la explotación manual o mediante herramientas automatizadas de scripting.

### Impacto y Riesgos

La exposición afecta potencialmente a más de **64 millones de registros** de aspirantes estadounidenses, incluyendo transcripciones de chat que pueden contener datos personales, información de contacto, respuestas a preguntas de selección e, indirectamente, información sensible sobre preferencias laborales o historial profesional.

#### Riesgos asociados

– **Robo de identidad y spear phishing:** Los datos expuestos pueden facilitar campañas dirigidas contra los candidatos.
– **Cumplimiento normativo:** Incumplimiento de GDPR en el caso de ciudadanos europeos y contravención de la legislación estatal en EE.UU. (por ejemplo, CCPA en California).
– **Daño reputacional y costes legales:** Impacto directo en la imagen de McDonald’s y Paradox.ai, con posibles sanciones económicas y demandas colectivas.

### Medidas de Mitigación y Recomendaciones

Tras la notificación, Paradox.ai ha parcheado la vulnerabilidad y revisado los controles de autenticación de la API. Se recomienda a entidades que utilicen soluciones SaaS similares:

– **Implementar autenticación fuerte (OAuth2/JWT) y control de acceso basado en roles (RBAC).**
– **Realizar análisis de seguridad periódicos (pentesting, revisión de código y pruebas de caja negra) en APIs expuestas.**
– **Monitorizar el acceso a endpoints sensibles y establecer alertas ante patrones anómalos.**
– **Formar a los equipos de desarrollo en secure coding y DevSecOps.**
– **Revisar contratos y acuerdos de tratamiento de datos con proveedores SaaS, exigiendo cumplimiento normativo bajo GDPR, NIS2 y equivalentes.**

### Opinión de Expertos

Varios analistas de ciberseguridad subrayan que este tipo de incidentes son cada vez más frecuentes en plataformas SaaS del sector de recursos humanos. “La integración de chatbots y automatización en procesos de selección debe ir acompañada de estrictos controles de seguridad y auditoría continua, especialmente cuando se manejan volúmenes masivos de datos personales”, señala un CISO de una multinacional tecnológica. Consultores coinciden en que los riesgos asociados a APIs mal protegidas pueden tener consecuencias mucho más graves que brechas tradicionales de bases de datos.

### Implicaciones para Empresas y Usuarios

Para empresas, este incidente destaca la importancia de exigir transparencia y garantías de seguridad a los proveedores de soluciones SaaS, así como de reforzar la formación interna en gestión de terceros y riesgos de cadena de suministro. Los usuarios, por su parte, deben ser conscientes de los datos que comparten en procesos de selección digitalizados y exigir información sobre el tratamiento y protección de sus datos.

### Conclusiones

La brecha de seguridad en McHire pone en evidencia los desafíos emergentes en la protección de datos personales en plataformas cloud y automatizadas. Es imprescindible que tanto proveedores como clientes adopten un enfoque proactivo en la implementación de controles de seguridad en APIs, así como una gestión rigurosa del cumplimiento normativo, ante un escenario cada vez más regulado y vigilado por las autoridades.

(Fuente: www.bleepingcomputer.com)