Badacze cyberbezpieczeństwa zdołali uzyskać dostęp do osobistych danych 64 milionów kandydatów ubiegających się o pracę w McDonald’s, korzystając z wyjątkowo słabego hasła “123456” do systemu rekrutacyjnego McHire, który obsługuje chatbot o nazwie Olivia.
Badacze Ian Carroll i Sam Curry odkryli luki w systemie rekrutacyjnym McDonald’s McHire, które naraziły dane około 64 milionów kandydatów do pracy. Platforma używała (i przez cały czas używa) chatbota AI Olivia od firmy Paradox.ai.
Włamanie było proste – badacze znaleźli stronę logowania Paradox.ai i użyli popularnych kombinacji “admin/admin” oraz “123456/123456”. Druga próba się udała, dając im dostęp administratora do danych rekrutacyjnych restauracji McDonald’s. Słabe hasło to jednak nie wszystko – system nie miał też uwierzytelniania wieloskładnikowego.
Po zalogowaniu się, badacze odkryli dodatkowo błąd IDOR w API, który pozwalał na dostęp do rozmów między kandydatami a chatbotem Olivia. Wyksponowane dane obejmowały imiona, e-maile, telefony, adresy i tokeny uwierzytelniające. Badacze potwierdzili autentyczność tych danych, kontaktując się z kandydatami.
Paradox.ai wzięło pełną odpowiedzialność za incydent. Stephanie King potwierdziła ustalenia i zapewniła, iż konto z hasłem “123456” nie było używane przez nikogo innego. Firma gwałtownie załatała lukę i zobowiązała się do dalszych przeglądów bezpieczeństwa. McDonald’s usunął również podatności i – jak twierdzi – wdrożył dodatkowe środki ochrony.
