Dati di 64 Milioni di Domande di Lavoro McDonald’s Esposti

Oltre 64 milioni di candidati per posti di lavoro presso McDonald’s negli Stati Uniti potrebbero aver visto esposte le loro informazioni personali dopo che i ricercatori di cybersecurity hanno scoperto gravi vulnerabilità di sicurezza in McHire, la piattaforma di assunzione basata su AI del gigante del fast food.

Credenziali Deboli Sbloccano Accesso Amministrativo

I ricercatori di sicurezza Ian Carroll e Sam Curry hanno scoperto che il pannello di amministrazione di McHire, utilizzato dai proprietari dei ristoranti per gestire le domande, accettava credenziali di accesso predefinite deboli con un nome utente “123456” e una password “123456”.

Per chi non lo sapesse, McHire, utilizzato dal 90% dei franchisee di McDonald’s, è una piattaforma di assunzione basata su chatbot alimentata da Paradox.ai. Presenta un bot chiamato ‘Olivia’ che raccoglie dati dei candidati, preferenze di turno e conduce test di personalità come parte del processo di candidatura.

Utilizzando le credenziali di prova, i ricercatori hanno effettuato il login in un account di un ristorante di prova e hanno scoperto di poter visualizzare e interagire con i dati della chat dal vivo tra Olivia e i candidati. Hanno scoperto che una vulnerabilità di Riferimento Diretto Insicuro (IDOR) su un’API interna consentiva a chiunque avesse un account McHire di accedere ai dati personali e alle chat di qualsiasi candidato semplicemente cambiando un numero nell’API.

“Durante una revisione di sicurezza superficiale di alcune ore, abbiamo identificato due problemi gravi: l’interfaccia di amministrazione di McHire per i proprietari dei ristoranti accettava le credenziali predefinite 123456:123456, e un riferimento diretto insicuro (IDOR) su un’API interna ci ha permesso di accedere a qualsiasi contatto e chat volessimo,” ha scritto Carroll in un post riguardo al difetto.

“Insieme, ci hanno permesso e a chiunque altro avesse un account McHire e accesso a qualsiasi casella di posta di recuperare i dati personali di oltre 64 milioni di candidati.”

In altre parole, modificando il lead_id in una richiesta del browser—essenzialmente aumentando o diminuendo un numero—potevano visualizzare informazioni personali di altri candidati nel sistema. Questo includeva nomi, email, numeri di telefono, indirizzi di casa, stato della domanda di lavoro e persino token di accesso che avrebbero potuto consentire loro di impersonare i candidati nel sistema.

Mentre i candidati credevano di chattare in sicurezza, le loro conversazioni e i dati erano accessibili a chiunque trovasse il login di prova e manipolasse l’API esposta.

Risposta e Misure Adottate

I ricercatori di sicurezza hanno informato sia Paradox.ai che McDonald’s il 30 giugno, e hanno risposto rapidamente. Nel giro di poche ore, le credenziali predefinite sono state disabilitate e entrambe le vulnerabilità sono state riportate come risolte entro il 1° luglio.

“Siamo delusi da questa vulnerabilità inaccettabile da parte di un fornitore terzo, Paradox.ai. Non appena abbiamo appreso del problema, abbiamo ordinato a Paradox.ai di risolvere immediatamente la questione, ed è stata risolta lo stesso giorno in cui ci è stata segnalata,” ha dichiarato McDonald in una nota riguardo alla ricerca.

Paradox.ai ha affermato che la maggior parte delle chat esposte non conteneva informazioni personali e ha sottolineato che non sono state trovate prove di accesso malevolo oltre ai ricercatori. Ha affermato che solo un numero limitato di registrazioni sensibili che includevano dettagli completi sono state accessibili durante i test.

“Vogliamo essere molto chiari sul fatto che mentre i ricercatori potrebbero aver avuto brevemente accesso al sistema contenente tutte le interazioni chat (NON domande di lavoro), hanno visualizzato e scaricato solo cinque chat in totale che contenevano informazioni sui candidati. Ancora una volta, in nessun momento i dati sono stati divulgati online o resi pubblici,” ha scritto Paradox in un aggiornamento sulla sicurezza.

Inoltre, Paradox ha promesso protocolli di sicurezza più rigorosi, un nuovo programma di bug bounty e canali di divulgazione più accessibili. Nel frattempo, McDonald’s ha dichiarato di stare rivedendo le sue partnership e ha promesso di intensificare il controllo sui suoi fornitori terzi e di mantenere rigorosi standard di protezione dei dati.