Jak nie prowadzić rekrutacji. Sieć McDonald's ujawniła informacje nt. milionów kandydatów do pracy w restauracji

Jak podaje redakcja portalu Tom's Hardware, ok. 90% wszystkich restauracji McDonald's w Stanach Zjednoczonych prowadzi rekrutację za pośrednictwem usługi McHire. System ten zawiera w sobie wbudowanego czatbota imieniem Olivia, który zbiera dane osobowe potencjalnych kandydatów, przeprowadza im testy osobowości i pomaga zaaplikować na stanowisko w wybranej placówce. Owa Olivia jest dziełem zewnętrznej firmy Paradox.ai, a ta, jak wyszło na światło dnia, nie przykłada zbyt wielkiej wagi do generowania bezpiecznych i trudnych do złamania haseł.

Badacze Ian Carroll oraz Sam Curry postanowili przyjrzeć się stosowanemu przez McDonald's rozwiązaniu za sprawą krążących po Reddicie zrzutów ekranów przedstawiających męki, jakie musi przejść każdy chętny do rozpoczęcia pracy w jednej z knajp. Czatbot, któremu z jakiegoś powodu powierzono prowadzenie procesu rekrutacyjnego, zdaje się niezbyt rozgarnięty i, co najgorsze, nie jest w stanie przekierować użytkownika w odpowiednie miejsce, zatrzymując go w pozornie nieskończonej pętli wymiany zdań z maszyną.

W trakcie kilku godzin spędzonych na przeglądzie McHire Carroll i Curry zauważyli niepokojącą rzecz, a mianowicie – interfejs administracyjny platformy, przeznaczony dla właścicieli restauracji, bez zająknięcia przyjmował domyślne dane uwierzytelniające, w tym przypadku 123456/123456. Co więcej, za sprawą niezabezpieczonego bezpośredniego odwołanie do obiektu (IDOR) pozostawionego w wewnętrznym interfejsie API usługi, wścibscy mężczyźni uzyskali dostęp do danych osobowych ponad 64 milionów kandydatów, którzy przewinęli się przez serwis. Zabieg taki byłaby w stanie powtórzyć każda osoba posiadająca konto w McHire i dostęp do dowolnej skrzynki odbiorczej.

Nim jednak hakerzy dostali się do poufnych informacji, musieli samodzielnie przejść cały wstępny proces aplikacji w lokalnej restauracji. Uwzględniało to rozmowę ze wspomnianą Olivią, która poprosiła o adresy e-mail i numery telefonów, a następnie skierowała Iana i Sama na... obowiązkowe testy osobowości (chociaż z samą osobowością zbyt wiele wspólnego nie miały). Badacze zostali zmuszeni m.in. do określenia swojego stanowiska w takich kategoriach jak "Lubię brać nadgodziny".

W międzyczasie panowie odkryli, że właściciele przybytków mogą zapoznać się ze wszystkimi otrzymanymi aplikacjami za pośrednictwem osobnej strony. Na niej też, w oknie logowania, widniała opcja "członek zespołu Paradox". I teraz najlepsze – Curry oraz Carroll przekonują, że bez większego namysłu w polach "login" i "hasło" wstukali "123456", po czym... zostali wpuszczeni do systemu z przywilejami administratorów.

Dopiero podczas dalszego zagłębiania się w platformę wyszło na jaw, że na API można wymusić wyświetlenie historii czatu każdego z przeszło 64 milionów kandydatów. Wśród wyświetlanych informacji znajdowały się imię i nazwisko, adres e-mail, adres zamieszkania, numer telefonu, dokładne dane nt. poszukiwanego zatrudnienia (restauracja, jej adres, a nawet pożądane zmiany), a także token autoryzacyjny umożliwiający zalogowanie się do interfejsu użytkownika jako konkretna osoba.

Curry i Carroll czym prędzej postanowili podzielić się swoim odkryciem z McDonald's i Paradox.ai, licząc przy tym na to, że jakaś osoba o niecnych zamiarach nie znalazła luki przed nimi i nie zdążyła jej wykorzystać. Po kilku godzinach Paradox zareagował i przekazał, że "ochrona danych kandydatów i klientów jest ich najwyższym priorytetem", a problem został już rozwiązany.