Ερευνητές κυβερνοασφάλειας ανακάλυψαν μια ευπάθεια στο McHire, την πλατφόρμα chatbot της McDonald's για αιτήσεις εργασίας, η οποία εξέθεσε τις συνομιλίες περισσότερων από 64 εκατομμυρίων υποψηφίων εργαζομένων στις Ηνωμένες Πολιτείες.
Το ελάττωμα ανακαλύφθηκε από τους ερευνητές ασφαλείας Ian Carroll και Sam Curry, οι οποίοι διαπίστωσαν ότι ο πίνακας διαχείρισης του ChatBot χρησιμοποιούσε ένα δοκιμαστικό franchise που προστατευόταν από αδύναμα διαπιστευτήρια: όνομα σύνδεσης "123456" και κωδικό πρόσβασης "123456".
Το McHire, που υποστηρίζεται από την Paradox.ai και χρησιμοποιείται από περίπου το 90% των δικαιοδόχων της McDonald's, δέχεται αιτήσεις εργασίας μέσω ενός chatbot με το όνομα Olivia. Οι υποψήφιοι μπορούν να υποβάλουν ονόματα, διευθύνσεις email, αριθμούς τηλεφώνου, διευθύνσεις κατοικίας και διαθεσιμότητα και απαιτείται να συμπληρώσουν ένα τεστ προσωπικότητας ως μέρος της διαδικασίας αίτησης εργασίας.
Μόλις συνδεθούν, οι ερευνητές υπέβαλαν αίτηση εργασίας στο δοκιμαστικό franchise για να δουν πώς λειτουργεί η διαδικασία.
Κατά τη διάρκεια αυτής της δοκιμής, παρατήρησαν ότι οι αιτήσεις HTTP στάλθηκαν σε ένα τελικό σημείο API στο /api/lead/cem-xhr, το οποίο χρησιμοποίησε μια παράμετρο lead_id, η οποία στην περίπτωσή τους ήταν 64.185.742.
Οι ερευνητές διαπίστωσαν ότι αυξάνοντας και μειώνοντας την παράμετρο lead_id, μπόρεσαν να εκθέσουν τις πλήρεις μεταγραφές συνομιλιών, τα διακριτικά περιόδου σύνδεσης και τα προσωπικά δεδομένα πραγματικών υποψηφίων εργασίας που είχαν υποβάλει αίτηση στο McHire.
Αυτός ο τύπος ελαττώματος ονομάζεται ευπάθεια IDOR (Insecure Direct Object Reference), η οποία είναι όταν μια εφαρμογή εκθέτει εσωτερικούς αναγνωριστικούς αντικειμένων, όπως αριθμούς εγγραφών, χωρίς να επαληθεύει εάν ο χρήστης είναι πραγματικά εξουσιοδοτημένος να έχει πρόσβαση στα δεδομένα.
"Κατά τη διάρκεια μιας πρόχειρης επισκόπησης ασφαλείας λίγων ωρών, εντοπίσαμε δύο σοβαρά ζητήματα: η διεπαφή διαχείρισης McHire για τους ιδιοκτήτες εστιατορίων αποδέχτηκε τα προεπιλεγμένα διαπιστευτήρια 123456:123456 και μια μη ασφαλής άμεση αναφορά αντικειμένου (IDOR) σε ένα εσωτερικό API μας επέτρεψε να έχουμε πρόσβαση σε οποιεσδήποτε επαφές και συνομιλίες θέλαμε", εξήγησε ο Carroll σε μια γραπτή αναφορά σχετικά με το ελάττωμα.
"Μαζί μας επέτρεψαν σε εμάς και σε οποιονδήποτε άλλο με λογαριασμό McHire και πρόσβαση σε οποιαδήποτε εισερχόμενα να ανακτήσουμε τα προσωπικά δεδομένα περισσότερων από 64 εκατομμυρίων υποψηφίων."
Σε αυτήν την περίπτωση, η αύξηση ή η μείωση ενός αριθμού lead_id σε μια αίτηση επέστρεψε ευαίσθητα δεδομένα που ανήκουν σε άλλους υποψηφίους, καθώς το API απέτυχε να ελέγξει εάν ο χρήστης είχε πρόσβαση στα δεδομένα.
Το ζήτημα αναφέρθηκε στην Paradox.ai και τη McDonald's στις 30 Ιουνίου.
Η McDonald's αναγνώρισε την αναφορά μέσα σε μια ώρα και τα προεπιλεγμένα διαπιστευτήρια διαχειριστή απενεργοποιήθηκαν λίγο αργότερα.
"Είμαστε απογοητευμένοι από αυτήν την απαράδεκτη ευπάθεια από έναν πάροχο τρίτων, την Paradox.ai. Μόλις μάθαμε για το ζήτημα, δώσαμε εντολή στην Paradox.ai να διορθώσει το ζήτημα αμέσως και επιλύθηκε την ίδια ημέρα που μας αναφέρθηκε", δήλωσε η McDonald's στο Wired σε μια δήλωση σχετικά με την έρευνα.
Η Paradox ανέπτυξε μια επιδιόρθωση για την αντιμετώπιση του ελαττώματος IDOR και επιβεβαίωσε ότι η ευπάθεια μετριάστηκε. Η Paradox.ai δήλωσε έκτοτε ότι διεξάγει έλεγχο των συστημάτων της για να αποτρέψει την επανάληψη παρόμοιων μεγάλων ζητημάτων.
Η Paradox είπε επίσης στο BleepingComputer ότι οι πληροφορίες που εκτέθηκαν θα ήταν οποιαδήποτε αλληλεπίδραση chatbot, όπως το κλικ σε ένα κουμπί, ακόμη και αν δεν είχαν εισαχθεί προσωπικές πληροφορίες.