一对安全研究人员揭露了麦当劳招聘聊天机器人McHire Paradox存在漏洞,该漏洞可能导致约6400万通过该服务申请麦当劳加盟店职位的用户个人信息泄露(注:该机器人由Paradox公司开发)。
我第一次被“黑”是在14岁——这里的引号充满讽刺,因为当时账户密码是1234(当然实际输入时没有引号和句号,这更糟糕)。找回账户后,我开始使用密码管理器。
这为何值得提及?因为发现漏洞的研究员伊恩·卡罗尔(Ian Carroll)和萨姆·库里(Sam Curry)成功猜出了Paradox团队成员登录McHire系统的密码:123456。这比我当年的密码略强,但在全民意识到弱密码危害性的数十年后仍出现这种情况,实在令人费解。
漏洞细节
好消息是:“我们意外成为了McHire系统内测试餐厅的管理员,”研究人员写道,“但看到的全是Paradox.ai(McHire开发公司)的员工信息。这虽有助于理解系统运作,却无法证明实际数据泄露风险。”
真正的致命漏洞在于McHire API的不安全的直接对象引用(IDOR)缺陷。通过该漏洞,研究人员能获取所有通过该平台申请麦当劳职位的求职者信息,包括:
姓名、电子邮箱、电话号码、住址
求职状态及所有表单记录(可工作时间段等)
可冒充用户登录的认证令牌(导致聊天记录等敏感信息泄露)
规模与影响
值得注意的是,Paradox曾宣称全美90%的麦当劳加盟店使用McHire进行招聘(其官网相关宣传已被删除,且网页存档中亦无痕迹)。对比来看:少年时代我用1234保护的论坛账户被黑无足轻重,而融资2亿美元的Paradox与市值2130亿美元的麦当劳,却让数千万人信息暴露在风险中——尽管他们的密码比我的多了两位字符。
所幸研究人员披露漏洞后,McHire在24小时内完成了修复。但愿相关企业今后能以更高标准要求自己。
