6천4백만 맥도날드 채용 지원서 데이터 유출

미국 전역의 6천4백만 명 이상의 맥도날드 채용 지원자들의 개인 정보가 유출되었을 수 있으며, 이는 사이버 보안 연구자들이 맥도날드의 AI 기반 채용 플랫폼인 McHire에서 심각한 보안 취약점을 발견했기 때문입니다.

약한 자격 증명으로 관리자 접근 가능

보안 연구자 Ian Carroll과 Sam Curry는 맥도날드의 가맹점 소유자들이 지원서를 관리하는 데 사용하는 McHire의 관리자 패널이 로그인 이름 “123456”과 비밀번호 “123456”이라는 약한 기본 로그인 자격 증명을 허용한다는 것을 발견했습니다.

모르는 분들을 위해 설명하자면, McHire는 90%의 맥도날드 가맹점에서 사용되는 챗봇 기반의 채용 플랫폼으로 Paradox.ai에 의해 구동됩니다. 이 플랫폼은 지원자 데이터, 근무 선호도 수집 및 성격 테스트를 수행하는 ‘Olivia’라는 이름의 봇을 특징으로 합니다.

연구자들은 테스트 자격 증명을 사용하여 테스트 레스토랑 계정에 로그인한 후 Olivia와 지원자 간의 실시간 채팅 데이터를 보고 상호작용할 수 있음을 발견했습니다. 그들은 내부 API에서의 불안전한 직접 객체 참조(IDOR) 취약점이 McHire 계정을 가진 누구나 API에서 숫자를 변경하기만 하면 지원자의 개인 데이터와 채팅에 접근할 수 있도록 허용한다는 것을 발견했습니다.

“몇 시간의 간단한 보안 검토 중에 우리는 두 가지 심각한 문제를 확인했습니다: 레스토랑 소유자를 위한 McHire 관리 인터페이스가 기본 자격 증명 123456:123456을 허용했고, 내부 API에서의 불안전한 직접 객체 참조(IDOR)가 우리가 원하는 모든 연락처와 채팅에 접근할 수 있도록 허용했습니다.”라고 Carroll은 결함에 대한 게시물에서 썼습니다.

“이 두 가지가 결합되어 McHire 계정과 어떤 수신함에 접근할 수 있는 누구에게나 6천4백만 명 이상의 지원자의 개인 데이터를 검색할 수 있게 했습니다.”

다시 말해, 브라우저 요청에서 lead_id를 수정함으로써—본질적으로 숫자를 증가시키거나 감소시키는 방식으로—그들은 시스템 전반에 걸쳐 다른 지원자들의 개인 정보를 볼 수 있었습니다. 여기에는 이름, 이메일, 전화번호, 집 주소, 채용 상태, 심지어 지원자를 시스템에서 가장할 수 있게 해주는 로그인 토큰이 포함되었습니다.

지원자들은 안전하게 채팅하고 있다고 믿었지만, 그들의 대화와 데이터는 테스트 로그인을 찾고 노출된 API를 조작한 누구에게나 접근 가능했습니다.

응답 및 조치

보안 연구자들은 6월 30일 Paradox.ai와 맥도날드에 이 사실을 알렸고, 그들은 신속하게 대응했습니다. 몇 시간 내에 기본 자격 증명이 비활성화되었고, 두 가지 취약점은 7월 1일까지 수정된 것으로 보고되었습니다.

“우리는 제3자 제공업체인 Paradox.ai의 이 용납할 수 없는 취약성에 실망했습니다. 문제를 알게 되자마자 우리는 Paradox.ai에 즉시 문제를 해결할 것을 지시했고, 보고된 당일에 해결되었습니다.”라고 맥도날드는 연구에 대한 성명에서 밝혔습니다.

Paradox.ai는 대부분의 노출된 채팅이 개인 정보를 포함하지 않았으며, 연구자들 외에 악의적인 접근의 증거는 발견되지 않았다고 강조했습니다. 그들은 테스트 중에 전체 세부 정보를 포함한 민감한 기록이 소수만 접근되었다고 주장했습니다.

“연구자들이 모든 채팅 상호작용(채용 지원이 아님)을 포함하는 시스템에 잠시 접근했을 수 있지만, 그들은 후보자 정보가 포함된 다섯 개의 채팅만을 보고 다운로드했습니다. 다시 말해, 어떤 데이터도 온라인에 유출되거나 공개되지 않았습니다.”라고 Paradox는 보안 업데이트에서 썼습니다.

또한 Paradox는 더 엄격한 보안 프로토콜, 새로운 버그 바운티 프로그램 및 더 접근 가능한 공개 채널을 약속했습니다. 한편, 맥도날드는 파트너십을 검토하고 제3자 제공업체에 대한 감독을 강화하며 엄격한 데이터 보호 기준을 준수할 것이라고 밝혔습니다.