McDonald's допустил серьёзный провал в безопасности с платформой McHire: учётные данные «123456» открыли доступ к 64 миллионам чатов
Как и многие крупные корпорации, McDonald's использует платформу для найма персонала McHire.com с ИИ-чатом по имени Оливия, разработанным компанией Paradox.ai. Чатбот собирает личные данные соискателей, предлагает им пройти тест личности и отвечает на базовые вопросы о компании (хотя иногда делает это крайне плохо).
Исследователи в области безопасности Ян Кэрролл и Сэм Карри обнаружили, что до прошлой недели платформа имела невероятно серьёзные уязвимости (первыми об этом сообщило издание Wired). Если бы эти дыры нашли злоумышленники, они получили бы доступ ко всем чатам Оливии с соискателями, включая личные данные.
Кэрролл и Карри выявили ряд грубых, а местами даже комично простых ошибок в системе McHire.com, которую используют многие франчайзи McDonald's. Им удалось войти в аккаунт Paradox.ai и базы данных с логами чатов всех кандидатов. Метод «взлома» поражает: исследователи просто авторизовались в администраторской панели, используя логин и пароль «123456».
Через эту уязвимость можно было получить доступ к 64 миллионам записей, включая имена, электронные адреса и номера телефонов.
«Мне показалось, что McHire — это что-то уникально антиутопичное по сравнению с обычным процессом найма. Это и подтолкнуло меня к исследованию», — объясняет Кэрролл. «Я начал подавать заявку на работу, и через 30 минут у нас был полный доступ практически ко всем заявкам в McDonald's за последние годы».
После изучения чатбота исследователи попытались зарегистрироваться как франчайзи и нашли ссылку для входа сотрудников Paradox.ai. Кэрролл попробовал два самых распространённых набора учётных данных: «admin/admin» и «123456/123456». Сработал второй вариант.
Это дало им доступ к (несуществующему) тестовому ресторану McDonald's, где они создали тестовую вакансию и обнаружили следующую уязвимость: изменяя ID заявки, можно было просматривать чаты других соискателей. Всего они получили доступ к семи аккаунтам, пять из которых содержали личную информацию.
0 комментариев