Un exempleado despedido sembró el caos en los restaurantes del parque Disney World

Un exempleado anterior de Disney llevó a cabo una serie de ciberataques en el sistema de menús de los restaurantes ubicados en el parque temático Walt Disney World.

Según los documentos del caso, el acusado Michael Scheuer hackeó el software de creación de menús, desarrollado por una empresa externa específicamente para Disney, y modificó los datos relacionados con alérgenos alimentarios. Scheuer indicó que los platos que contenían cacahuetes eran seguros para personas con alergias. Además, añadió expresiones ofensivas en los menús y cambió las fuentes a símbolos Wingdings, lo que hizo los menús ilegibles.

El exempleado utilizó sus antiguas credenciales para acceder al sistema de menús poco después de su despido. Posteriormente, interfirió varias veces en el funcionamiento del sistema utilizando los inicios de sesión y contraseñas a los que aún tenía acceso. Como resultado, el software de creación de menús estuvo fuera de servicio durante varias semanas.

El cambio de fuentes fue el primer indicio de la intrusión. Los empleados notaron que todas las fuentes en el sistema se habían reemplazado por símbolos Wingdings. Los nombres de las fuentes permanecían igual, pero en lugar de letras se mostraban símbolos, lo que hizo que el sistema de creación de menús fuera inoperante. Los cambios afectaron a toda la base de datos de menús, y la empresa tuvo que desactivar el programa para restaurar versiones anteriores mediante copias de seguridad. Durante la recuperación del sistema, los empleados tuvieron que recurrir a la creación manual de menús, lo que ralentizó significativamente las operaciones.

Tras el incidente, la empresa restableció las contraseñas de acceso al programa de creación de menús. No obstante, Scheuer supuestamente accedió a los servidores de la empresa utilizados para imprimir los menús y cargó archivos visualmente idénticos a los menús auténticos de Disney, pero con información de ingredientes y precios alterada. En algunos casos, añadió notas que indicaban que los platos eran seguros para personas con ciertos tipos de alergias, aunque en realidad los ingredientes podían representar una amenaza mortal. Según los documentos del caso, los menús alterados fueron detectados antes de llegar a los restaurantes del parque.

De acuerdo con los documentos, Scheuer también bloqueó el acceso de al menos 14 empleados de Disney a sus cuentas al intentar acceder al sistema en línea de Disney 7934 veces mediante un script. Además, tenía una carpeta con información personal sobre las casas, números de teléfono y familiares de cuatro empleados, y se presentó en la noche en el domicilio de uno de ellos.

Disney no se menciona oficialmente en los documentos, pero puede identificarse a través de descripciones como «una empresa de medios y entretenimiento que opera en el condado de Florida Central» y los datos de acceso a wdpr.service-now[.]com, el portal corporativo de Walt Disney Company.

El abogado del acusado confirmó que nadie en el parque resultó herido por las acciones de su cliente, ya que los menús alterados fueron detectados y eliminados antes de su distribución. El abogado se negó a hacer más comentarios sobre el caso.