Двойка изследователи в областта на сигурността са разкрили уязвимости в чатбота McHire на Paradox, разработен за McDonald's, които биха могли да бъдат използвани за разкриване на лична информация за около 64 милиона души, които са използвали услугата, за да кандидатстват за работа в местните франчайзи.

Изследователите, открили тези уязвимости, Иън Карол и Сам Къри, са успели да отгатнат паролата, използвана от „членовете на екипа на Paradox“ за достъп до McHire: „123456.“ Томва е изключително популярна и несериозна паролаи нищо не може да оправдае използването ѝ десетилетия след като повечето хора разбраха, че използването на слаби пароли е лоша идея.

„Оказа се, че сме станали администратори на тестов ресторант в системата на McHire“, пишат Карол и Къри. "Видяхме, че всички служители на ресторанта са просто служители на Paradox.ai - компанията, която стои зад McHire. Това беше чудесно, защото сега можехме да видим как работи приложението, но неприятно, защото все още не бяхме демонстрирали реално въздействие върху поверителността или целостта на данните."

Ето къде се появява втората уязвимост. (Или първата, в зависимост от това дали смятате смущаващо лошата парола за истинска уязвимост или не.) Несигурна директна референция към обект (IDOR) в API на McHire позволява на Карол и Къри да получат достъп до следната информация от „всяко взаимодействие в чата от всеки, който някога е кандидатствал за работа в McDonald's“:

- Име, имейл адрес, телефонен номер, адрес
- Състояние на кандидата и всяка промяна в състоянието/въвеждане на формуляр, който кандидатът е подал (смени, на които може да работи, и т.н.)
- Auth token за влизане в потребителския интерфейс като този потребител, изтичане на неговите необработени чат съобщения и вероятно друга информация

Карол и Къри отбелязват, че преди това Paradox се е похвалила, че 90% от франчайзите на McDonald's използват McHire като част от практиките си за наемане на служители. (Тази връзка все още води към съответната публикация в блога на Paradox, но разделът, свързан с McDonald's, е премахнат, а нито Wayback Machine, нито кешът на Google са запазили стари версии на публикацията). Въпреки, че през 2020 г. Paradox набра 200 млн. долара, а McDonald's има пазарна капитализация от 213 млрд. долара, недостатъците в киберсигурността на McHire разкриват информация за десетки милиони хора.

Може би единствената светла страна е, че Карол и Къри заявиха, че уязвимостите на McHire са били отстранени ден след разкриването им.

Снимка: Unsplash

Виж още: Отклоняването на астероид убиец е по-сложно, отколкото смяташе NASA