Lozinka "123456" štitila je podatke o kandidatima za posao u McDonald'su, ne odveć uspješno
Neovisni sigurnosni istraživač otkrio je da su privatni razgovori 64 milijuna kandidata za posao u lancu restorana bili dostupni putem internog sustava zaštićenog iznimno slabom i lako pogodivom lozinkom
Sigurnosni propust unutar sustava za zapošljavanje globalnog lanca brze hrane McDonald's izložio je privatne razgovore čak 64 milijuna kandidata koji su im se prijavili za posao. Propust, koji su otkrili i prijavili neovisni stručnjaci za kibernetičku sigurnost Ian Carroll i Sam Curry, omogućavao je pristup internoj platformi za razmjenu poruka između kandidata i lanca restorana brze hrane.
User: 123456, pass: 123456
Problem je, kako piše na Carollovom blogu, bio u nevjerojatno slaboj zaštiti sustava McHire. API sučelje za dohvaćanje poruka, naime, bilo je zaštićena korisničkim imenom "123456" i identičnom takvom lozinkom. Korištenjem tih trivijalnih pristupnih podataka, bilo tko je mogao postati administratorom, pregledavati i pretraživati kompletnu bazu podataka razgovora, izlažući tako potencijalno osjetljive informacije koje su kandidati dijelili tijekom procesa regrutiranja.
Istraživači su na ranjivost naišli testirajući platformu McHire, koju je izradila tvrtka Paradox.ai. Putem nje regrutiranje je obavljalo oko 90% franšiza McDonald'sa, a razgovori su se obavljali s chatbotom Olivia. Analizirajući mrežni promet te aplikacije, uočili su API pozive koji su dohvaćali poruke, ali su isto tako shvatili da sustav za provjeru autentičnosti praktički ne postoji. Podacima su uspjeli pristupiti koristeći spomenutu, općepoznatu slabu lozinku.
Nakon otkrića, odmah su kontaktirali McDonald's kako bi ih upozorili na ozbiljnost situacije. Prema podacima s bloga, komunikacija s tvrtkom bila je brza i učinkovita. McDonald's je odmah reagirao i u kratkom roku zatvorio sigurnosnu rupu uz pomoć dobavljača softverskog rješenja, spriječivši daljnju neovlaštenu dostupnost podataka. Iako su razgovori bili izloženi, nema dokaza da je itko osim istraživača iskoristio ovaj propust u zlonamjerne svrhe.
