「123456」パスワードで6,400万件のマクドナルド求人チャットボット応募チャットが流出

タイトルを修正し、6,400万件はユニークな応募者数ではなく、求人チャットボットへの応募数であることを反映しました。

サイバーセキュリティ研究者は、米国全土で6,400万件を超える求人応募チャットが流出していた、マクドナルドのチャットボット求人応募プラットフォーム「McHire」に脆弱性を発見しました。

この脆弱性は、セキュリティ研究者のIan Carroll氏とSam Curry氏によって発見され、チャットボットの管理パネルが「123456」というログイン名と「123456」というパスワードという弱い認証情報で保護されたテスト用フランチャイズを利用していたことが判明しました。

McHireはParadox.aiによって運営され、マクドナルドのフランチャイズの約90%で利用されています。応募者は「Olivia」というチャットボットを通じて、氏名、メールアドレス、電話番号、自宅住所、勤務可能時間などを提出し、応募プロセスの一環として性格診断テストの受験も求められます。

研究者らはログイン後、テスト用フランチャイズに求人応募を提出し、プロセスの仕組みを確認しました。

このテスト中、HTTPリクエストが/api/lead/cem-xhrというAPIエンドポイントに送信されていることに気づき、リクエストにはlead_idというパラメータ（この場合は64,185,742）が使われていました。

研究者らはlead_idパラメータを増減させることで、過去にMcHireで応募した実在の応募者のチャット全文、セッショントークン、個人情報を閲覧できることを発見しました。

この種の脆弱性はIDOR（Insecure Direct Object Reference：不適切な直接オブジェクト参照）と呼ばれ、アプリケーションが内部オブジェクト識別子（レコード番号など）を、利用者がそのデータにアクセスする権限を持っているか確認せずに公開してしまう場合に発生します。

「数時間の簡単なセキュリティレビューの中で、2つの重大な問題を特定しました。1つはレストランオーナー向けMcHire管理インターフェースがデフォルト認証情報123456:123456を受け付けていたこと、もう1つは内部APIのIDORにより、任意の連絡先やチャットにアクセスできたことです」とCarroll氏は脆弱性についてのレポートで説明しています。

「これら2つの問題により、私たちや他のMcHireアカウントを持つ誰もが、6,400万件を超える応募者の個人情報を取得できてしまいました。」

このケースでは、リクエスト内のlead_id番号を増減させるだけで、他の応募者の機微なデータが返されてしまい、APIがユーザーのデータアクセス権を確認していませんでした。

この問題は6月30日にParadox.aiおよびマクドナルドに報告されました。

マクドナルドは1時間以内に報告を認識し、その後すぐにデフォルトの管理者認証情報が無効化されました。

「サードパーティプロバイダーであるParadox.aiによる、この容認できない脆弱性には失望しています。問題を知った直後、Paradox.aiに即時対応を義務付け、報告当日に解決されました」とマクドナルドはWiredの取材に対し声明を出しました。

ParadoxはIDOR脆弱性に対処する修正を適用し、問題が緩和されたことを確認しました。Paradox.aiはその後、同様の重大な問題が再発しないようシステムの見直しを行っていると述べています。

またParadoxはBleepingComputerに対し、流出した情報は個人情報が入力されていなくても、ボタンをクリックするなどのチャットボットとのやり取りすべてが含まれる可能性があると説明しました。

更新 2025年7月11日：Paradoxからの情報を追加。
更新 2025年7月12日：タイトルを「応募数」に変更し、ユニークな応募者ではないことを明確化。