Daten von 64 Millionen McDonald’s-Bewerbungen offengelegt

Mehr als 64 Millionen McDonald’s-Bewerber in den Vereinigten Staaten könnten ihre persönlichen Informationen offengelegt bekommen haben, nachdem Cybersicherheitsforscher schwerwiegende Sicherheitsanfälligkeiten in McHire, der KI-gestützten Einstellungsplattform des Fast-Food-Riesen, entdeckt haben.

Schwache Anmeldeinformationen gewähren Administratorzugang

Die Sicherheitsforscher Ian Carroll und Sam Curry entdeckten, dass das Admin-Panel von McHire, das von Restaurantbesitzern zur Verwaltung von Bewerbungen verwendet wird, schwache Standard-Anmeldeinformationen akzeptierte: einen Benutzernamen „123456“ und ein Passwort „123456“.

Für diejenigen, die es nicht wissen: McHire, das von 90 % der McDonald’s-Franchisenehmer verwendet wird, ist eine chatbot-basierte Einstellungsplattform, die von Paradox.ai betrieben wird. Sie verfügt über einen Bot namens „Olivia“, der Bewerberdaten, Schichtpräferenzen sammelt und Persönlichkeitstests im Rahmen des Bewerbungsprozesses durchführt.

Mit den Testanmeldeinformationen loggten sich die Forscher in ein Testrestaurant-Konto ein und stellten fest, dass sie auf Live-Chat-Daten zwischen Olivia und den Bewerbern zugreifen und mit ihnen interagieren konnten. Sie entdeckten, dass eine unsichere direkte Objektreferenz (IDOR) auf einer internen API es jedem mit einem McHire-Konto ermöglichte, auf persönliche Daten und Chats von Bewerbern zuzugreifen, indem einfach eine Zahl in der API geändert wurde.

„Während einer flüchtigen Sicherheitsüberprüfung von ein paar Stunden identifizierten wir zwei schwerwiegende Probleme: Die McHire-Administrationsoberfläche für Restaurantbesitzer akzeptierte die Standardanmeldeinformationen 123456:123456, und eine unsichere direkte Objektreferenz (IDOR) auf einer internen API erlaubte es uns, auf alle Kontakte und Chats zuzugreifen, die wir wollten“, schrieb Carroll in einem Beitrag über den Fehler.

„Zusammen ermöglichten sie uns und jedem anderen mit einem McHire-Konto und Zugang zu einem beliebigen Posteingang, die persönlichen Daten von mehr als 64 Millionen Bewerbern abzurufen.“

Mit anderen Worten, indem sie die lead_id in einer Browseranfrage modifizierten – im Wesentlichen eine Zahl erhöhten oder verringerten – konnten sie persönliche Informationen von anderen Bewerbern im System einsehen. Dazu gehörten Namen, E-Mails, Telefonnummern, Wohnadressen, den Status der Bewerbung und sogar Anmelde-Token, die es ihnen ermöglichen konnten, die Bewerber im System zu impersonieren.

Während die Bewerber glaubten, sicher zu chatten, waren ihre Gespräche und Daten für jeden zugänglich, der die Testanmeldung fand und die offengelegte API manipulierte.

Reaktion und ergriffene Maßnahmen

Die Sicherheitsforscher informierten sowohl Paradox.ai als auch McDonald’s am 30. Juni, und sie reagierten schnell. Innerhalb von Stunden wurden die Standardanmeldeinformationen deaktiviert, und beide Sicherheitsanfälligkeiten wurden Berichten zufolge bis zum 1. Juli behoben.

„Wir sind enttäuscht über diese inakzeptable Sicherheitsanfälligkeit eines Drittanbieters, Paradox.ai. Sobald wir von dem Problem erfuhren, haben wir Paradox.ai angewiesen, das Problem sofort zu beheben, und es wurde am selben Tag gelöst, an dem es uns gemeldet wurde“, sagte McDonald in einer Erklärung zu der Forschung.

Paradox.ai behauptete, dass die meisten offengelegten Chats keine persönlichen Informationen enthielten und betonte, dass keine Beweise für böswilligen Zugriff über die Forscher hinaus gefunden wurden. Es wurde behauptet, dass nur eine Handvoll sensibler Datensätze, die vollständige Details enthielten, während der Tests abgerufen wurden.

„Wir möchten sehr klarstellen, dass, während die Forscher möglicherweise kurzzeitig Zugang zu dem System hatten, das alle Chat-Interaktionen (NICHT Bewerbungen) enthielt, sie insgesamt nur fünf Chats einsehen und herunterladen konnten, die Bewerberinformationen enthielten. Wiederum wurde zu keinem Zeitpunkt Daten online geleakt oder öffentlich gemacht“, schrieb Paradox in einem Sicherheitsupdate.

Darüber hinaus hat Paradox strengere Sicherheitsprotokolle, ein neues Bug-Bounty-Programm und zugänglichere Offenlegungskanäle versprochen. In der Zwischenzeit erklärte McDonald’s, dass es seine Partnerschaften überprüft und versprach, die Aufsicht über seine Drittanbieter zu verschärfen und strenge Datenschutzstandards aufrechtzuerhalten.