6400 万份麦当劳工作申请数据曝光

在网络安全研究人员发现快餐巨头人工智能招聘平台 McHire 中存在严重安全漏洞后，全美超过 6400 万麦当劳求职者的个人信息可能遭到泄露。

弱凭据解锁管理员访问权限

更多阅读：

安全研究人员 Ian Carroll 和 Sam Curry 发现，餐馆老板用来管理应用程序的 McHire 管理面板接受登录名“123456”和密码“123456”的弱默认登录凭据。

对于那些不知道的人来说，McHire 是一个由 Paradox.ai 提供支持的基于聊天机器人的招聘平台，90% 的麦当劳特许经营商都在使用。它有一个名为“Olivia”的机器人，可以收集申请人数据、改变偏好并进行性格测试，作为工作申请过程的一部分。

使用测试凭据，研究人员登录了一个测试餐厅帐户，发现他们可以查看奥利维亚和申请人之间的实时聊天数据并进行交互。他们发现内部 API 上的不安全直接对象引用 (IDOR) 漏洞允许拥有 McHire 帐户的任何人只需更改 API 中的数字即可访问任何申请人的个人数据和聊天记录。

“在几个小时的粗略安全审查中，我们发现了两个严重问题：餐厅老板的 McHire 管理界面接受了默认凭据 123456:123456，内部 API 上的不安全直接对象引用 (IDOR) 允许我们访问我们想要的任何联系人和聊天记录，”Carroll在帖子中写道关于缺陷。

“他们共同允许我们和拥有 McHire 帐户并访问任何收件箱的任何其他人检索超过 6400 万申请人的个人数据。”

换句话说，通过修改浏览器请求中的 Lead_id（本质上是增加或减少数字），他们可以查看系统中其他申请人的个人信息。这包括姓名、电子邮件、电话号码、家庭住址、工作申请状态，甚至可能允许他们冒充系统中的申请人的登录令牌。

虽然申请人相信他们正在安全地聊天，但任何发现测试登录并操纵公开 API 的人都可以访问他们的对话和数据。

应对措施及采取的措施

安全研究人员于 6 月 30 日向 Paradox.ai 和麦当劳披露了这一情况，他们迅速做出了回应。几小时内，默认凭据就被禁用，据报道，这两个漏洞均在 7 月 1 日之前得到修复。

“我们对第三方提供商 Paradox.ai 的这个不可接受的漏洞感到失望。我们一得知这个问题，就要求 Paradox.ai 立即修复该问题，并在向我们报告的当天就解决了该问题，”McDonald 在一份有关该研究的声明中表示。

Paradox.ai 声称大多数暴露的聊天内容不包含个人信息，并强调除了研究人员之外没有发现恶意访问的证据。它声称在测试过程中只访问了少数包含完整详细信息的敏感记录。

“我们想要非常明确的是，虽然研究人员可能短暂访问过包含所有聊天交互（而不是工作申请）的系统，但他们总共只查看和下载了包含候选人信息的五个聊天记录。同样，任何数据都没有在网上泄露或公开，”Paradox在安全更新中写道。

此外，Paradox 还承诺更严格的安全协议、新的错误赏金计划以及更容易访问的披露渠道。与此同时，麦当劳表示正在审查其合作伙伴关系，并承诺加强对其第三方提供商的监管并维护严格的数据保护标准。