Un equipo de investigación de la web especializada en ciberseguridad Cybernews ha descubierto que el gigante de las hamburgueserías Burger King no ha protegido adecuadamente su página en Francia.
Una mala configuración de su web habría expuesto credenciales confidenciales al público. En manos malintencionadas estas podrían haberse usado como herramienta para realizar un ciberataque contra los sistemas de la cadena.
En concreto, el sitio web identificado es un subdominio de la página principal que se usaba para solicitudes de empleo, así que aquellos que buscaron trabajo en Burger King en Francia en los últimos años podrían haberse visto potencialmente afectados.
Aunque los datos filtrados en sí mismos no serían suficientes para obtener el control total de la página, sí que podrían simplificar significativamente el proceso de una posible toma de control para los atacantes, especialmente si logran identificar otros endopoints vulnerables.
El archivo expuesto contenía credenciales para una base de datos. Aunque los investigadores no han podido verificar qué se almacenaba en la misma, se cree que podrían ser ofertas de trabajo y datos introducidos por los propios solicitantes.
Los investigadores también hallaron una ID de Google Analytics comprometida. Esto se usar para determinar qué tráfico debe registrarse y enviarse a la cuenta asociada.
Así, un atacante podría explotar estos datos filtrados para configurar la ID en un sitio que controla y luego inundarlo con tráfico generado automáticamente. Esta afluencia abrumaría la cuenta asociada de Google Analytics, causando una interrupción y distorsión significativas del análisis de rendimiento de la página durante la duración del ataque.
Reincidente en brechas de seguridad
Desde Cybernews se han puesto en contacto con Burger King para avisarles del problema y la empresa ha tomado cartas en el asunto.
No es la primera vez que la empresa de comida rápida filtra datos confidenciales. En 2019, una mala configuración de su sucursal en Francia supuestamente filtró información de identificación personal (PII) de niños que habían comprado menús infantiles de la casa.