Prawie wszystkie McDonaldy używają platformy rekrutacyjnej McHire. Platforma udostepnia chatbota, stworzonego przez firmę Paradox.ai, który przepytuje chętnych do pracy zbierając ich różne dane i preferencje.
Ian Carroll, który na co dzień zajmuje się cyberbezpieczeństwem opublikował wpis, w którym opisuje dwie luki wykryte w tym systemie. Pierwsza z nich, to to, że system akceprował domyślne dane logowania, które nie były skomplikowane bo były to 123456:123456. Dodatkowo niebezpieczne, bezpośrednie połączenie w API pozwalało na dostęp do kontaktów i czatów. Każdy posiadacz konta McHire był w stanie odczytać skrzynkę odbiorczą i pobrać dane osobowe osób ubiegających się o pracę.
Rekrutacja przebiega z udziałem chat bota. Chętni, ubiegający się o pracę są proszeni o podanie adresu email, numeru telefonu i odpowiadających nam godzin pracy. Następnym etapem był test osobowości. Sam test był przeprowadzony przez platformę Traitify.com.
Właściciele restauracji logowali się na stronie https://www.mchire.com/signin. Tam dostępne były dane osób chętnych do pracy. Aplikacja wymuszała logowanie SSO, ale był też link z logowaniem dla „członków zespołu Paradox. Ian po wpisaniu danych 123456 jako loginu oraz 123456 jako hasła, zalogował się do systemu.
Dane te należały do administratora restauracji testowej McHire. Wszyscy pracownicy byli pracownikami Paradox.ai
Ian postanowił zaaplikować na jedno z dostępnych stanowisk testowych. Okazało się, że restauracja może przeglądać wszystkie trwające rozmowy i podejmować interwencję po osiągnięciu określonego etapu.
W dalszym toku badań, zauważono API, które było odniesieniem do proxy Customer lub Candidate Experience Manager (CEM). Głównym parametrem tego żądania był lead_id czatu. Dla kandydata do testu wynosił on 64,185,742. Po zmniejszeniu tego parametru, badacz miał dostęp do danych innych osób szukających pracy.
Po zaobserwowaniu tych zmian, problem został zgłoszony do losowych osób z firmy, ponieważ na stronie Paradox nie było dostępnych żadnych kontaktów publicznie. W momencie nawiązania kontaktu z odpowiednimi osobami, zespół Paradox szybko usunął problem i zobowiązał się do przeprowadzenia audytu.
Jak czasowo wyglądało zgłoszenie i naprawa problemu?
Bardzo szybko. Ian podaje terminy.
Problem został ujawniony w tym samym czasie zarówno do McDonald jak i Paradox.ai
- 30.06.2025 17:46 ET: Przekazanie informacji o problemie
- 30.06.2025 18:24 ET: McDonald’s potwierdza odbiór i prosi o szczegóły techniczne
- 30.06.2025 19:31 ET: Dane uwierzytelniające nie nadają się już do uzyskania dostępu do aplikacji
- 07.01.2025 21:44 ET: Kontynuowano status
- 07.01.2025 22:18 ET: Paradox.ai potwierdza, że problemy zostały rozwiązane
Pełna analiza na stronie: https://ian.sh/mcdonalds
