マクドナルドのチャットボット採用プラットフォーム「McHire」に存在した脆弱性により、6,400万件を超える求職者の個人情報が漏洩していたことを、セキュリティ研究者のIan Carroll氏とSam Curry氏が発見しました。
このプラットフォームにアクセスする際、マクドナルドの求職者はParadox.aiが作成したボットとチャットしますが、Paradox.aiはテストアカウントのデフォルト認証情報を削除せず、すべての応募者のチャット内容にアクセスできるAPIの適切な保護も行っていませんでした。
Carroll氏が説明するように、McHireプラットフォームは店舗オーナーがログインして応募情報を閲覧できるようになっており、マクドナルド向けにシングルサインオン(SSO)が強制されています。しかし、Paradoxチームメンバー向けのサインインページでは、「123456」というユーザーアカウントに「123456」というパスワードでログインできてしまいました。
「結果として、私たちはMcHireシステム内のテスト店舗の管理者になっていました。その店舗の従業員は、実際にはMcHireを提供するParadox.aiの従業員でした」とCarroll氏は説明しています。
このアカウントから、研究者たちは応募者とチャットボットの間で進行中の会話を閲覧でき、さらに面接プロセスの特定の段階で介入することも可能でした。
応募者情報を取得するAPIを調査したところ、研究者たちはIDパラメータが応募者の注文番号のように見える、IDOR(不適切な直接オブジェクト参照)の脆弱性が存在することに気付きました。研究者の応募情報の場合、そのIDは64,185,742でした。
「この番号を減らしてみたところ、すぐに別のマクドナルド応募者のPII(個人識別情報)(マスクされていない連絡先データを含む)に直面しました」とCarroll氏は述べています。
Carroll氏によると、このAPIは本質的にすべての応募者の個人情報、氏名、住所、電話番号、メールアドレス、応募状況、さらにそのユーザーとしてコンシューマーUIにログインできる認証トークンを提供しており、生のチャットメッセージにもアクセスできる状態でした。
広告。スクロールして続きを読む。
Carroll氏とCurry氏は6月30日にParadox.aiおよびマクドナルドにセキュリティ問題を通知しました。デフォルト認証情報は同日中に無効化され、両方の脆弱性は7月1日までに解決済みと確認されました。
「私たちの連絡が適切な担当者に届いた後、Paradox.aiのチームは私たちと連携し、候補者およびクライアントのデータ保護を最優先事項と強調し、迅速に脆弱性を修正し、今後も残る脆弱性の特定と封じ込めに取り組むことを約束してくれました」とCarroll氏は述べています。
*タイトルを更新しました。情報がオンライン上に漏洩した事実はありません。
関連記事: スバル「Starlink」の脆弱性により車両がリモートハッキングの危険に
関連記事: 数百万台のKia車両にリモートハッキングの脆弱性