Данные 64 миллионов заявок на работу в McDonald’s раскрыты

Более 64 миллионов соискателей на работу в McDonald’s по всей территории США могли подвергнуться раскрытию личной информации после того, как исследователи в области кибербезопасности обнаружили серьезные уязвимости в McHire, платформе для найма, основанной на ИИ, принадлежащей гиганту быстрого питания.

Слабые учетные данные открывают доступ администратора

Исследователи безопасности Иэн Кэрролл и Сэм Керри обнаружили, что панель администратора McHire, используемая владельцами ресторанов для управления заявками, принимала слабые стандартные учетные данные для входа с именем пользователя «123456» и паролем «123456».

Для тех, кто не в курсе, McHire, используемая 90% франчайзи McDonald’s, является платформой для найма на основе чат-бота, работающей на Paradox.ai. Она включает в себя бота по имени «Оливия», который собирает данные соискателей, предпочтения по сменам и проводит тесты на личность в рамках процесса подачи заявки на работу.

Используя тестовые учетные данные, исследователи вошли в тестовую учетную запись ресторана и обнаружили, что могут просматривать и взаимодействовать с данными живого чата между Оливией и соискателями. Они выяснили, что уязвимость Insecure Direct Object Reference (IDOR) на внутреннем API позволяла любому с учетной записью McHire получить доступ к личным данным и чатам любых соискателей, просто изменив число в API.

«Во время поверхностного обзора безопасности в течение нескольких часов мы выявили две серьезные проблемы: интерфейс администрирования McHire для владельцев ресторанов принимал стандартные учетные данные 123456:123456, а небезопасная прямая ссылка на объект (IDOR) на внутреннем API позволила нам получить доступ к любым контактам и чатам, которые мы хотели», — написал Кэрролл в посте о недостатке.

«Вместе они позволили нам и любому другому с учетной записью McHire и доступом к любому почтовому ящику получить личные данные более 64 миллионов соискателей».

Другими словами, изменяя lead_id в запросе браузера — по сути, увеличивая или уменьшая число — они могли просматривать личную информацию других соискателей по всей системе. Это включало имена, электронные адреса, номера телефонов, домашние адреса, статус заявки на работу и даже токены для входа, которые могли позволить им выдавать себя за соискателей в системе.

Хотя соискатели считали, что общаются в безопасной среде, их разговоры и данные были доступны любому, кто нашел тестовый логин и манипулировал открытым API.

Ответ и принятые меры

Исследователи безопасности сообщили как Paradox.ai, так и McDonald’s 30 июня, и они быстро отреагировали. В течение нескольких часов стандартные учетные данные были отключены, и обе уязвимости, как сообщается, были исправлены к 1 июля.

«Мы разочарованы этой неприемлемой уязвимостью со стороны стороннего поставщика, Paradox.ai. Как только мы узнали о проблеме, мы потребовали от Paradox.ai немедленно устранить проблему, и она была решена в тот же день, когда была сообщена нам», — заявил McDonald в своем заявлении о исследовании.

Paradox.ai утверждала, что большинство раскрытых чатов не содержали личной информации и подчеркнула, что не было найдено доказательств злонамеренного доступа, кроме как со стороны исследователей. Она утверждала, что только небольшое количество чувствительных записей, содержащих полные данные, было доступно во время тестирования.

«Мы хотим четко заявить, что хотя исследователи могли кратковременно получить доступ к системе, содержащей все взаимодействия в чате (НЕ заявки на работу), они просмотрели и скачали всего пять чатов, в которых была информация о кандидатах. Снова, ни в какой момент данные не были раскрыты в интернете или опубликованы», — написала Paradox в обновлении безопасности.

Кроме того, Paradox пообещала более строгие протоколы безопасности, новую программу вознаграждений за ошибки и более доступные каналы раскрытия информации. Тем временем McDonald’s заявила, что проводит обзор своих партнерств и пообещала ужесточить контроль за своими сторонними поставщиками и соблюдать строгие стандарты защиты данных.