McDonalds naraził dane 64 mln użytkowników
Poważny incydent bezpieczeństwa w systemie rekrutacyjnym McDonald’s. Zagrożonych było ok. 64 milionów danych osób ubiegających się o pracę.
Ian Carroll i Sam Curry przeprowadzili śledztwo, które zostało zainicjowane na podstawie postów na Reddicie, dotyczących skarg związanych z funkcjonowaniem sztucznej inteligencji wykorzystywanej przez McHire, czyli portalu rekrutacyjnego McDonalds.
When applying for a job at McDonald's, over 90% of franchises use "Olivia," an AI-powered chatbot. We (@iangcarroll and I) discovered a vulnerability that could allow an attacker to access the over 64 million chat records using the password "123456".https://t.co/dBqpRpdp9T
— Sam Curry (@samwcyo) July 9, 2025
McHire został wyposażony w model sztucznej inteligencji firmy Paradox.ai. Olivia w czacie z kandydatem zadaje pytania, ocenia kwalifikacje i kieruje kandydatów dalej do weryfikacji, co umożliwia automatyczne filtrowanie kandydatów. Jak zaznaczają badacze, model gromadzi dane osobowe i przeprowadza testy osobowości.
Czytaj też
Poważne naruszenia bezpieczeństwa danych
Badacze, przeprowadzając kontrolę, zidentyfikowali poważne naruszenia:
„Interfejs administracyjny McHire dla właścicieli restauracji akceptował domyślne poświadczenia 123456:123456, a niezabezpieczone bezpośrednie odniesienie do obiektu (IDOR) w wewnętrznym interfejsie API pozwoliło nam uzyskać dostęp do dowolnych kontaktów i czatów.” – czytamy na blogu badaczy.
To oznacza, że panel administracyjny portalu McHire akceptował bardzo proste dane do logowania, a każdy, kto znał adres tego panelu, mógł podjąć próbę logowania. Badacze użyli jako loginu i hasła ciagu znaków „123456” i uzyskali dostęp do systemu
Z kolei podatność IDOR (Insecure Direct Object Reference) umożliwiała dostęp do czatów po numerze ID, bez weryfikacji, czy użytkownik ma do nich uprawnienia. To oznacza, że zmieniając numer ID, każdy mógł uzyskać dostęp do danych osobowych dowolnego kandydata, w tym pełnych danych kontaktowych.
Wśród zagrożonych danych znalazły się m.in.:
- Imię i nazwisko, adres e-mail, numer telefonu, adres
- Formularze wprowadzone przez kandydata (wraz z wrażliwymi danymi)
- Token autoryzacyjny umożliwiający zalogowanie się do interfejsu jako dany użytkownik
Kandydaci byli narażeni na kradzież tożsamości, oszustwa, utratę tożsamości czy wykorzystania danych wbrew ich woli.
Zdarzenie zostało zgłoszone do Paradox.ai i odpowiedni zespół „niezwłocznie usunął lukę w zabezpieczeniach i zobowiązał się do przeprowadzenia dalszych analiz w celu zidentyfikowania i zamknięcia wszelkich pozostałych możliwości wykorzystania luk.”
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected]
WYCIEKI DANYCH z firm. JAK ZAPOBIEGAĆ wynoszeniu danych przez pracowników?
Materiał sponsorowany