6400万件のマクドナルドの求人応募データが漏洩

アメリカ全土で6400万人以上のマクドナルドの求人応募者の個人情報が漏洩した可能性があり、これはサイバーセキュリティ研究者がマクハイアの深刻なセキュリティ脆弱性を発見したためです。このプラットフォームはファーストフード大手のAI駆動の採用プラットフォームです。

弱い認証情報が管理者アクセスを解除

セキュリティ研究者のイアン・キャロルとサム・カリーは、マクハイアの管理パネルが、レストランオーナーが応募を管理するために使用するもので、ログイン名「123456」とパスワード「123456」という弱いデフォルトのログイン認証情報を受け入れていることを発見しました。

知らない方のために、マクハイアはマクドナルドのフランチャイジーの90%が使用しているチャットボットベースの採用プラットフォームで、Paradox.aiによって駆動されています。応募者のデータ、シフトの希望、性格テストを収集する「オリビア」というボットが特徴です。

研究者たちはテスト認証情報を使用してテストレストランアカウントにログインし、オリビアと応募者間のライブチャットデータを表示および操作できることを発見しました。内部APIの不正な直接オブジェクト参照（IDOR）脆弱性により、マクハイアアカウントを持つ誰もがAPI内の番号を変更するだけで、応募者の個人データやチャットにアクセスできることが分かりました。

「数時間の簡単なセキュリティレビューの中で、私たちは2つの深刻な問題を特定しました：マクハイアの管理インターフェースがデフォルトの認証情報123456:123456を受け入れ、内部APIの不正な直接オブジェクト参照（IDOR）により、私たちは望む連絡先やチャットにアクセスできました」とキャロルはこの欠陥についての投稿で書いています。

「これにより、私たちや他の誰でもマクハイアアカウントを持ち、任意の受信箱にアクセスできる場合、6400万人以上の応募者の個人データを取得することができました。」

言い換えれば、ブラウザリクエスト内のlead_idを変更することで—基本的に数を増減させることで—システム全体の他の応募者の個人情報を表示できました。これには名前、メールアドレス、電話番号、自宅住所、求人応募のステータス、さらにはシステム内で応募者を偽装することを可能にするログイントークンが含まれていました。

応募者は安全にチャットしていると信じていましたが、彼らの会話やデータは、テストログインを見つけて露出したAPIを操作した誰にでもアクセス可能でした。

対応と取られた措置

セキュリティ研究者は6月30日にParadox.aiとマクドナルドの両方に通知し、彼らは迅速に対応しました。数時間以内にデフォルトの認証情報は無効化され、両方の脆弱性は7月1日までに修正されたと報告されています。

「私たちは、第三者プロバイダーであるParadox.aiからのこの受け入れがたい脆弱性に失望しています。この問題を知った瞬間、私たちはParadox.aiに即座に問題を修正するよう指示し、報告された同日に解決されました」とマクドナルドは研究についての声明で述べました。

Paradox.aiは、ほとんどの露出したチャットには個人情報が含まれていないと主張し、研究者以外の悪意のあるアクセスの証拠は見つからなかったと強調しました。テスト中に完全な詳細を含むわずかな敏感な記録のみがアクセスされたと主張しました。

「私たちは、研究者がすべてのチャットインタラクション（求人応募ではない）を含むシステムに一時的にアクセスできたかもしれませんが、候補者情報を含む5つのチャットのみを表示およびダウンロードしたことを非常に明確にしたいと思います。再度、いかなるデータもオンラインで漏洩したり公開されたりすることはありませんでした」とParadoxはセキュリティアップデートで書いています。

さらに、Paradoxはより厳格なセキュリティプロトコル、新しいバグバウンティプログラム、よりアクセスしやすい開示チャネルを約束しました。一方、マクドナルドはパートナーシップを見直しており、第三者プロバイダーの監視を強化し、厳格なデータ保護基準を維持することを約束しています。