Chipotle sirve papas fritas, guacamole y correo electrónico de recursos humanos: Krebs on Security

la cadena de restaurantes Chipotle parrilla mexicana parece bastante bueno produciendo grandes cantidades de burritos enormes, pero es posible que la empresa deba revisar algunos conceptos básicos de ciberseguridad corporativa. Para empezar, el departamento de recursos humanos de Chipotle ha estado respondiendo a los nuevos solicitantes de empleo utilizando el dominio «chipotlehr.com”: el nombre de un sitio web que la empresa nunca ha poseído ni controlado.

chip de correo electrónico Traducción: Hasta la semana pasada, cualquiera podía haber leído un correo electrónico destinado al departamento de RRHH de la empresa con solo registrar el dominio “chipotlehr.com”. Peor aún, Chipotle ha estado señalando esto sin darse cuenta durante meses en correos electrónicos a todos los que solicitaron un trabajo a través del sitio web de la compañía.

Este descuido de seguridad por parte de Chipotle fue sacado a la luz por el lector de KrebsOnSecurity.com Michael Kohlmanun experto en TI profesional que descubrió el error después de solicitar un trabajo en el minorista de alimentos.

Kohlman, que está entre trabajos en este momento, dijo que envió su currículum y solicitud al departamento de recursos humanos en línea de Chipotle no necesariamente porque quería ser empleado de un restaurante, sino más bien para cumplir con los términos de sus beneficios de desempleo (que requieren que muestre pruebas regularmente que está buscando activamente trabajo).

Kohlman dijo que después de enviar su currículum y su solicitud, recibió un correo electrónico de Empleos en Chipotle que llevaba la dirección de retorno @chipotlehr.com. El nativo de Minnesota dijo que sintió curiosidad sobre la fuente del correo electrónico de recursos humanos de Chipotle cuando una respuesta enviada a esa dirección generó un mensaje de error o de «rebote» que decía que su misiva no se podía entregar.

“La respuesta enlatada fue muy extraña”, dijo Kohlman. “En lugar de indicar que el correo electrónico no existía, [the bounced message] Regresé y dije que no podía resolver la configuración de DNS”.

Una búsqueda rápida de los registros de propiedad del dominio mostró que nunca antes se había registrado. Entonces, dijo Kohlman, en un capricho desembolsó $30 para comprarlo.

El mensaje de bienvenida que se recibe al enviar con éxito una solicitud de empleo en Chipotle desalienta a los usuarios a responder al mensaje. Pero Kohlman dijo que una breve mirada al correo electrónico entrante asociado con ese dominio reveló un flujo constante de correos electrónicos rebeldes a chipotlehr.com, principalmente de personas que buscan trabajo y personas que buscan asistencia con la contraseña del portal de recursos humanos de Chipotle.

Una carta de confirmación de Chipotle Careers, que durante al menos varios meses usó la dirección de respuesta chipotlehr.com, un dominio que la empresa no poseía.

Una carta de confirmación que recibí de Chipotle Careers, que durante al menos varios meses utilizó la dirección de respuesta chipotlehr.com, un dominio que la empresa no poseía.

“En pocas palabras, todo lo que se envía por correo electrónico a este sistema de recursos humanos podría ser capturado, por lo que la posibilidad de que alguien abuse de esto es enorme”, dijo Kohlman. “Como alguien que ha hecho una gran parte de su carrera defendiéndose de los atacantes cibernéticos, prefiero ver a Chipotle y a otros aprender de sus errores en lugar de causar un daño real”.

Desde entonces, Kohlman se ha ofrecido a ceder libremente el dominio a la cadena de restaurantes. Pero Chipotle expresó cero interés en adquirir el dominio gratuito. De hecho, el portavoz de Chipotle chris arnold dice que la compañía no ve esto como un gran problema en absoluto.

«Los chipotlehr.com el dominio no es una dirección funcional y nunca lo ha sido”, escribió Arnold en un comunicado enviado por correo electrónico. “Nunca tuvo ningún significado operativo y nunca sirvió para solicitar o aceptar ningún tipo de respuesta. Así que nunca ha habido un riesgo de seguridad de ningún tipo asociado con esto. Esa dirección se está cambiando a carreras.chipotle.com (un dominio que poseemos), pero esto nunca ha sido funcional y realmente no es un problema”.

Supongo que no es realmente una respuesta impactante de una empresa de $ 3.5 mil millones al año que solo recién contratado el mes pasado su primer director de información. Chipotle todavía no tiene un puesto de trabajo que ponga a nadie a cargo de la seguridad informática. Se podría decir que el nivel de madurez de seguridad de la seguridad de la información de la empresa deja un poco que desear.

Toda esta debacle me recuerda una historia que escribí para el poste de washington en 2008 titulado “Te dijeron que no respondieras“. Ese artículo trataba sobre un joven aventurero que registró valientemente el dominio «donotreply.com», solo para ver cuán gravemente se abusaba del dominio. Poco sabía para qué se estaba registrando: un exceso constante de correo electrónico destinado a empresas que habían arrojado clientes allí durante años, incluidos bancos, contratistas de defensa y todo un lío de otras organizaciones que deberían haberlo sabido mejor. Terminó publicando los correos electrónicos más divertidos en su blog y, por lo general, solo eliminaba los correos electrónicos después de que las empresas infractoras acordaron hacer una donación a cualquier refugio de animales local.

Deja un comentario