Un investigador en seguridad de aplicaciones web reportó una vulnerabilidad de secuencia de comandos entre sitios en el sitio web de McDonald’s (mcdonalds.com) que comprometía la información del sitio web y sus usuarios. Antes de explicar el hallazgo del investigador, veamos en qué consiste esta falla de seguridad.
¿Qué es la secuencia de comandos entre sitios (XSS)?
Una secuencia de comandos entre sitios (usualmente abreviada como XSS) es una vulnerabilidad que permite a un hacker comprometer las interacciones de los usuarios con la aplicación web vulnerable (en este caso, el sitio de McDonald’s). Explotando estas fallas de seguridad, los atacantes pueden omitir la Política del Mismo Origen (SOP), que previene la carga de documentos o scripts desde fuentes de terceros; gracias a esto, los hackers pueden realizar acciones como usuarios legítimos y acceder a la información procesada por la aplicación web objetivo. Además, si el atacante cuenta con acceso privilegiado a la aplicación, podría obtener control total sobre sus funciones y sus datos.
Funcionamiento de la vulnerabilidad XSS
Un ataque XSS funciona gracias a la manipulación de un sitio web vulnerable, forzando la entrega de código JavaScript malicioso a la víctima. Cuando el código malicioso se ejecuta en el navegador de la víctima, el atacante podría comprometer completamente las interacciones con la aplicación, mencionan especialistas en seguridad de aplicaciones web.
¿Para qué se puede usar la vulnerabilidad XSS?
Este ataque permite realizar diversas actividades maliciosas, como:
- Suplantación de identidad y actividad de usuarios
- Acceso a cualquier información del usuario
- Captura de las credenciales de inicio de sesión del usuario
- Alteración del sitio web objetivo
- Inyección de troyanos vía sitios web
Impacto de un ataque XSS
El impacto real de estos ataques depende de la aplicación comprometida, sus funcionalidades y datos almacenados. Por ejemplo, una aplicación brochureware, en la que los usuarios son anónimos y la información es pública, no padecería grandes inconvenientes. Por otra parte, las aplicaciones capaces de almacenar información confidencial (apps de banca móvil, por ejemplo) sufrirían consecuencias desastrosas en caso de sufrir un ataque XSS.
El caso de McDonald’s
El experto en seguridad de aplicaciones web conocido como amlnspqr, reportó la falla en el sitio web de la cadena de comida rápida en la plataforma de divulgación responsable de vulnerabilidades openbugbounyt.org. Esta falla XSS representaba un serio potencial de peligro para la compañía y los usuarios del sitio web afectado.
La compañía ya ha recibido el reporte. Como protocolo de OpenBugBounty, los operadores del sitio web afectado deben ponerse en contacto con el encargado del reporte para mayores informes. Los detalles técnicos del reporte serán revelados en cuanto la vulnerabilidad sea corregida.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.