「123456」パスワードで6,400万件のマクドナルド求人応募チャットが流出

サイバーセキュリティ研究者が、米国内の6,400万件以上の求人応募者のチャットが流出する脆弱性を、マクドナルドのチャットボット求人応募プラットフォーム「McHire」で発見しました。

この脆弱性は、セキュリティ研究者のイアン・キャロル氏とサム・カリー氏によって発見されました。彼らは、チャットボットの管理パネルが「123456」というログイン名と「123456」というパスワードという弱い認証情報で保護されたテスト用フランチャイズを利用していることを突き止めました。

McHireはParadox.aiによって運営され、マクドナルドのフランチャイズの約90%で利用されています。応募者は「Olivia」というチャットボットを通じて、名前、メールアドレス、電話番号、自宅住所、希望勤務時間などを提出し、応募プロセスの一環として性格診断テストの受験も求められます。

ログイン後、研究者たちはテスト用フランチャイズに求人応募を提出し、そのプロセスを確認しました。

このテスト中、HTTPリクエストが/api/lead/cem-xhrというAPIエンドポイントに送信されており、lead_idというパラメータが使われていることに気づきました。彼らの場合、その値は64,185,742でした。

研究者たちは、lead_idパラメータを増減させることで、過去にMcHireで応募した実際の応募者のチャット全文、セッショントークン、個人情報が閲覧できることを発見しました。

この種の脆弱性はIDOR（Insecure Direct Object Reference：安全でない直接オブジェクト参照）と呼ばれ、アプリケーションが内部のオブジェクト識別子（レコード番号など）を、ユーザーが実際にそのデータへアクセスする権限があるかを確認せずに公開してしまう場合に発生します。

「数時間の簡単なセキュリティレビューで、2つの重大な問題を特定しました。1つはレストランオーナー向けMcHire管理インターフェースがデフォルト認証情報123456:123456を受け入れていたこと、もう1つは内部APIにおけるIDOR（安全でない直接オブジェクト参照）により、任意の連絡先やチャットにアクセスできたことです」とキャロル氏は脆弱性についての解説記事で説明しています。

「この2つの問題により、私たちや他の誰でもMcHireアカウントと受信箱へのアクセス権があれば、6,400万件以上の応募者の個人データを取得できてしまいました。」

このケースでは、リクエスト内のlead_id番号を増減させるだけで、APIがユーザーのアクセス権を確認しないため、他の応募者の機微なデータが返されていました。

この問題は6月30日にParadox.aiおよびマクドナルドに報告されました。

マクドナルドは1時間以内に報告を認識し、デフォルトの管理者認証情報はすぐに無効化されました。

「このような第三者プロバイダー（Paradox.ai）による容認できない脆弱性に失望しています。問題を知った直後、Paradox.aiに即時の対応を義務付け、報告当日に解決されました」とマクドナルドはこの研究についてWiredに声明を出しています。

ParadoxはIDOR脆弱性への修正を展開し、問題が緩和されたことを確認しました。Paradox.aiはその後声明を発表し、同様の重大な問題が再発しないようシステムの見直しを進めていると述べています。

ParadoxはBleepingComputerに対し、流出した情報はチャットボットとのやり取り（ボタンのクリックなど）であり、個人情報が入力されていなくても対象となる可能性があると説明しました。

2025年7月11日更新：Paradoxからの情報を追加。