Уязвимость в чат-боте McHire McDonald's раскрыла данные 64 млн человек из-за пароля «123456»

Двое исследователей кибербезопасности обнаружили уязвимости в чат-боте McHire компании Paradox, разработанном для McDonald's, которые могли привести к утечке персональных данных примерно 64 миллионов человек, использовавших сервис для трудоустройства в местных ресторанах сети. (Источник: Wired.)

Исследователи Ян Кэрролл и Сэм Карри смогли подобрать пароль, используемый «членами команды Paradox» для доступа к McHire — им оказалась комбинация «123456». Как отмечают эксперты, это ненамного лучше, чем пароль «1234», который многие используют в подростковом возрасте.

«Оказалось, мы получили права администратора тестового ресторана в системе McHire», — написали Кэрролл и Карри. «Мы могли видеть, что все сотрудники этого ресторана были просто сотрудниками Paradox.ai. Это позволило нам изучить работу приложения, но не демонстрировало реального нарушения конфиденциальности».

Вторая уязвимость оказалась более серьёзной. Ошибка в API McHire (небезопасная прямая ссылка на объект, IDOR) позволила исследователям получить доступ к следующим данным из «каждого чат-взаимодействия соискателей работы в McDonald's»:

• Имя, email, номер телефона, адрес
• Статус кандидата и все изменения/введённые данные (доступные смены и т.д.)
• Токен авторизации для входа в систему от лица пользователя, раскрывающий переписку и другую информацию

Ранее Paradox хвасталась, что 90% ресторанов McDonald's используют McHire для найма сотрудников. Интересно, что после публикации исследования раздел, посвящённый McDonald's, был удалён с их блога.

По словам исследователей, уязвимости были устранены через день после раскрытия. Остаётся надеяться, что компании теперь будут придерживаться более высоких стандартов безопасности.

Источник: Tomshardware.com