CIBERSEGURIDAD

La inseguridad del sitio web de McDonald’s deja vulnerables las contraseñas de los usuarios

McDonald’s ha sido capturado por El experto en seguridad holandés Tijme Gommers ejecutar un sitio web inseguro que podría provocar el robo de las contraseñas de los usuarios. Según Gommers, al abusar de una vulnerabilidad de almacenamiento criptográfico inseguro (Enlace) y una vulnerabilidad reflejada de secuencias de comandos entre sitios del servidor (Enlace) es posible robar y descifrar la contraseña de un usuario de McDonald’s. Además de eso, también se pueden robar otros datos personales como el nombre del usuario, la dirección y los datos de contacto.
Los expertos en seguridad comparten sus puntos de vista sobre la inseguridad, con consejos para los usuarios:
Mark James, especialista en seguridad de TI en ESET explica por qué esta fue una mala práctica de McDonald’s:
“Ya es bastante difícil en estos días mantener sus contraseñas únicas y a salvo de las amenazas modernas y los ciberdelincuentes sin que las empresas les faciliten la vida. Cifrar contraseñas en el lado del cliente es una práctica de seguridad sencilla y sencilla. Un atacante podría, a través de un ataque de phishing, comprometer con bastante facilidad esas contraseñas y, de hecho, la contraseña de cualquier otra persona utilizada en el sitio de McDonalds, ya que se usa la misma clave para todos los usuarios. Si ese usuario usara el mismo nombre de usuario (dirección de correo electrónico) y contraseña en otros sitios web (que, por supuesto, pueden incluir inicios de sesión financieros), esas credenciales podrían fácilmente ser robadas y utilizadas en otros lugares «.
“Asegurarse de que su servidor y sus aplicaciones utilicen el software más reciente y seguro es una de las formas de mantener el nivel de seguridad que los usuarios esperarían de las empresas a las que se les confió su seguridad. El software mejora a un ritmo asombroso y, del mismo modo, se ha demostrado que algunos programas no son lo suficientemente seguros para su propósito. Cuando esto sucede, la simple verdad es que tienes que cambiarte a algo más seguro. Sí, hay un costo y sí, lleva tiempo, pero en última instancia, tiene la obligación de hacer todo lo posible para proteger los datos de sus usuarios si los almacena. El sandbox de AngularJS se eliminó de la versión 1.6 en adelante, ya que se descubrió que brindaba una falsa sensación de seguridad; en ese momento, deberían sonar las alarmas, es hora de actualizar o evaluar las consecuencias de ejecutar versiones obsoletas de software inseguro con vulnerabilidades de seguridad conocidas. «
Tim Erlin, director sénior, gestión de productos en Tripwire:
“Es fácil ver por qué la información financiera, como la tarjeta de crédito o los detalles de la cuenta bancaria, son valiosos para los delincuentes, pero la información personal simple también puede ser un objetivo de delitos cibernéticos. La información personal de alta calidad, incluidos los nombres completos y las direcciones de correo electrónico, se puede vender con fines de lucro.
Es importante que las empresas trabajen con los investigadores de seguridad, en lugar de contra ellos. Si bien puede ser difícil aceptar informes de vulnerabilidad de terceros, una política de cooperación generalmente ofrece mejores resultados «.
Javvad Malik, defensor de seguridad en AlienVault:
“No es necesario cifrar las contraseñas. (Hice una video sobre este tema hace un par de años). Lo que pasa con el cifrado es que está diseñado para ser bidireccional. Entonces, si puede cifrar algo, es posible descifrarlo. Es por eso que un hash unidireccional (con sal) se usa comúnmente para proteger las contraseñas. Un hash es una forma (como una huella dactilar) al igual que un dedo siempre puede crear la misma huella fina, pero la huella dactilar no puede crear el dedo. El uso de cualquier software obsoleto o vulnerable es siempre una perspectiva arriesgada, especialmente en sitios web públicos.
Estas no son vulnerabilidades oscuras ni días cero. Existen estándares bien establecidos sobre cómo proteger las aplicaciones web e implementar de forma segura la autenticación de usuarios, incluido cómo administrar las contraseñas «.
Jonathan Sander, vicepresidente de estrategia de productos en Software de Lieberman:
“Cuando piensas en lugares donde debes prestar especial atención a la seguridad de tu vida en línea, el sitio web de McDonald’s no se te viene a la mente de inmediato. Sin embargo, imagine al desafortunado usuario que ha sido explotado en el sitio de McDonald’s y descubre que no puede aumentar el tamaño de su comida hoy porque su cuenta bancaria ha sido vaciada por un tipo malo que se salió con la suya con la cuenta bancaria de la persona desde que usaron ese mismo McDonald’s. contraseña en el sitio de su banco.
No todos los servicios de Internet son iguales. Todo el sentido común y los consejos le dicen que tenga más cuidado al administrar la contraseña del sitio web de su banco que una contraseña que usa para un restaurante de comida rápida. Puede darse cuenta de que su contraseña de Facebook es un poco menos importante que su banco, pero aún más importante que McDonald’s. Lo que esta vulnerabilidad de McDonald’s nos recuerda es que todos deben tener al menos una cantidad mínima de precaución en cualquier lugar en línea. Esto sirve para reforzar el consejo que los usuarios reciben todo el tiempo: nunca use la misma contraseña para varios sitios, especialmente los sitios de baja prioridad. McDonald’s no está protegiendo exactamente los datos más importantes del mundo en el sitio web de sus clientes. De todos modos, usar servidores y herramientas muy antiguos en el sitio que tienen problemas de seguridad bien conocidos parece irresponsable «.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar