«Белые хакеры» обнаружили уязвимость в сервисе McDonald's c личными данными сотрудников и соискателей — они смогли зайти в «админку» по паролю «123456»
Найти уязвимость «помогли галлюцинации» чат-бота «Оливия», который общается с кандидатами при устройстве на работу в McDonald's.
Сайт McHire. Источник: ian.sh
- Специалисты по кибербезопасности Иан Кэролл и Сэм Карри заинтересовались чат-ботом после постов на Reddit, где пользователи жаловались на его несвязные ответы. Поскольку «Оливия» доступна на сайте mchire.com, Кэролл и Карри решили проверить его бэкенд.
- Владельцы франшизы McDonald's используют McHire, для найма сотрудников. Разработала его компания Paradox.ai.
Источник: ian.sh
- На сайте «хакеры» заметили ссылку авторизации для разработчиков и сумели зайти по ней, используя логин и пароль «123456». Через запросы к серверу mchire.com, они обнаружили возможность получить личные данные о пользователях, которые когда-либо общались с чат-ботом.
- Помимо переписок с «Оливией» данные включают имя, электронную почту, адрес, номер телефона и рабочее расписание.
- По номеру, который присваивается пользователю автоматически, «хакеры» подсчитали, что в базе данных должно находиться более 64 млн «соискателей и сотрудников» McDonald's. Поиск уязвимости занял у них около получаса.
- Разработчики признали ошибки и исправили уязвимость, однако заявили, что не все записи в базе данных содержат личную информацию. Также они поделились планами запуска программ bug bounty.
- Как отмечают сами «хакеры», найденная ими информация может использоваться для фишинга — например, мошенники под видом сотрудников McDonald's могут просить деньги за «трудоустройство».
21 комментарий