Données de 64 millions de candidatures chez McDonald’s exposées

Plus de 64 millions de candidats chez McDonald’s à travers les États-Unis pourraient avoir vu leurs informations personnelles exposées après que des chercheurs en cybersécurité ont découvert de graves vulnérabilités de sécurité dans McHire, la plateforme de recrutement alimentée par l’IA du géant de la restauration rapide.

Des identifiants faibles déverrouillent l’accès administrateur

Les chercheurs en sécurité Ian Carroll et Sam Curry ont découvert que le panneau d’administration de McHire, utilisé par les propriétaires de restaurants pour gérer les candidatures, acceptait des identifiants de connexion par défaut faibles avec un nom d’utilisateur « 123456 » et un mot de passe « 123456 ».

Pour ceux qui ne le savent pas, McHire, utilisé par 90 % des franchisés de McDonald’s, est une plateforme de recrutement basée sur un chatbot alimenté par Paradox.ai. Elle dispose d’un bot nommé ‘Olivia’ qui collecte des données sur les candidats, leurs préférences de travail et effectue des tests de personnalité dans le cadre du processus de candidature.

En utilisant les identifiants de test, les chercheurs se sont connectés à un compte de restaurant de test et ont découvert qu’ils pouvaient voir et interagir avec les données de chat en direct entre Olivia et les candidats. Ils ont découvert qu’une vulnérabilité de Référence d’Objet Direct Insecure (IDOR) sur une API interne permettait à quiconque ayant un compte McHire d’accéder aux données personnelles et aux discussions de n’importe quel candidat simplement en changeant un numéro dans l’API.

« Lors d’un examen de sécurité superficiel de quelques heures, nous avons identifié deux problèmes graves : l’interface d’administration de McHire pour les propriétaires de restaurants acceptait les identifiants par défaut 123456:123456, et une référence d’objet direct non sécurisée (IDOR) sur une API interne nous a permis d’accéder à tous les contacts et discussions que nous voulions », a écrit Carroll dans un post à propos de la faille.

« Ensemble, ils nous ont permis, ainsi qu’à quiconque ayant un compte McHire et accès à n’importe quelle boîte de réception, de récupérer les données personnelles de plus de 64 millions de candidats. »

En d’autres termes, en modifiant le lead_id dans une requête de navigateur—essentiellement en augmentant ou diminuant un nombre—ils pouvaient voir des informations personnelles d’autres candidats à travers le système. Cela incluait des noms, des e-mails, des numéros de téléphone, des adresses domiciliaires, le statut de la candidature et même des jetons de connexion qui pouvaient leur permettre d’usurper l’identité des candidats dans le système.

Alors que les candidats croyaient discuter en toute sécurité, leurs conversations et données étaient accessibles à quiconque trouvait la connexion de test et manipulait l’API exposée.

Réponse et mesures prises

Les chercheurs en sécurité ont informé à la fois Paradox.ai et McDonald’s le 30 juin, et ils ont réagi rapidement. En quelques heures, les identifiants par défaut ont été désactivés, et les deux vulnérabilités ont été corrigées d’ici le 1er juillet.

« Nous sommes déçus par cette vulnérabilité inacceptable d’un fournisseur tiers, Paradox.ai. Dès que nous avons pris connaissance du problème, nous avons mandaté Paradox.ai pour remédier à la situation immédiatement, et cela a été résolu le même jour où il nous a été signalé », a déclaré McDonald dans un communiqué à propos de la recherche.

Paradox.ai a affirmé que la plupart des discussions exposées ne contenaient pas d’informations personnelles et a souligné qu’aucune preuve d’accès malveillant n’a été trouvée au-delà des chercheurs. Elle a affirmé que seulement quelques dossiers sensibles contenant des détails complets avaient été consultés lors des tests.

« Nous voulons être très clairs que bien que les chercheurs aient pu brièvement avoir accès au système contenant toutes les interactions de chat (PAS les candidatures), ils n’ont consulté et téléchargé que cinq discussions au total contenant des informations sur les candidats. Encore une fois, à aucun moment aucune donnée n’a été divulguée en ligne ou rendue publique », a écrit Paradox dans une mise à jour de sécurité.

De plus, Paradox a promis des protocoles de sécurité plus stricts, un nouveau programme de récompense pour les bogues, et des canaux de divulgation plus accessibles. Pendant ce temps, McDonald’s a déclaré qu’elle examinait ses partenariats et a promis de renforcer la surveillance de ses fournisseurs tiers et de maintenir des normes strictes de protection des données.