暴露于6400万麦当劳的工作申请的数据

在网络安全研究人员发现快速食品巨头AI驱动的招聘平台Mchire的严重安全漏洞之后，美国各地有6400万麦当劳的求职者可能已经暴露了其个人信息。

弱凭证解锁管理员访问

安全研究人员伊恩·卡罗尔（Ian Carroll）和萨姆·库里（Sam Curry）发现，餐厅老板使用的麦克风管理面板（MCHIRE）的管理面板是管理应用程序的，接受了登录名称“ 123456”的弱默认登录凭证和“ 123456”的密码。

对于那些不知道的人，麦当劳（McDonald）的加盟商中有90％的麦克场是由Paradox.ai提供动力的基于聊天机器人的招聘平台。它具有一个名为“ Olivia”的机器人，该机器人收集申请人数据，转移偏好并作为工作申请过程的一部分进行人格测试。

研究人员使用测试凭据登录了测试餐厅帐户，发现他们可以查看Olivia和申请人之间的实时聊天数据并进行互动。他们发现，内部API上的不安全的直接对象参考（IDOR）漏洞允许拥有MCHIRE帐户的任何人访问任何申请人的个人数据并通过简单地更改API中的数字来聊天。

“在几个小时的粗略安全审查中，我们确定了两个严重的问题：餐馆老板的MCHIRE管理界面接受了默认凭据123456：123456，以及内部API上的不安全直接对象参考（IDOR），使我们能够访问我们想要的任何联系人和聊天，”在帖子中写关于缺陷。

“他们一起允许我们和其他任何具有Mchire帐户的人，并访问任何收件箱，以检索超过6400万申请人的个人数据。”

换句话说，通过在浏览器请求中修改LEAD_ID（基本上增加或减少一个数字）可以查看系统中其他申请人的个人信息。其中包括名称，电子邮件，电话号码，家庭地址，作业申请状态，甚至登录令牌，可以使他们模仿系统中的申请人。

尽管申请人认为他们正在安全聊天，但发现测试登录并操纵暴露的API的任何人都可以访问他们的对话和数据。

响应和措施

安全研究人员于6月30日向Paradox.ai和麦当劳透露，他们迅速做出了回应。在几个小时内，默认凭据被禁用，据报道，这两个漏洞均在7月1日之前确定。

了解更多：Microsoft 365 Copilot的数据暴露 - 击中零单击漏洞

麦克唐纳在一份关于这项研究的声明中说：“我们对第三方提供商Paradox.ai的这种不可接受的漏洞感到失望。一旦我们了解了这个问题，我们就要求Paradox.ai立即纠正该问题，并在同一天向我们报告。”

Paradox.ai声称，最暴露的聊天不包含个人信息，并强调没有在研究人员之外发现恶意访问的证据。它声称，在测试期间只访问了少数几个敏感记录，其中包括完整的详细信息。

“我们要非常清楚，尽管研究人员可能短暂地可以访问包含所有聊天互动的系统（不是工作应用程序），但他们只查看并下载了五个聊天，其中包含候选信息。同样，任何数据都没有在线泄露或公开泄漏，”在安全更新中写了。

此外，Paradox已承诺更严格的安全协议，一个新的错误赏金程序和更容易访问的披露渠道。同时，麦当劳表示，它正在审查其合作伙伴关系，并答应收紧对第三方提供商的监督，并坚持严格的数据保护标准。