Дані шукачів роботи в McDonald’s зламали за 30 секунд: чому базу контактів не врятував пароль “123456”
Платформа, яка відбирає співробітників у McDonald’s, виявилася вразливою до злому. Двоє дослідників безпеки отримали доступ до особистих даних мільйонів шукачів роботи. Для цього достатньо було ввести пароль “123456”, пише Wired.
Чому платформу, яка відбирає співробітників у McDonald’s, так легко зламати
Підписуйтеся на наші соцмережі
- На платформі McHire.com, яку McDonald’s використовує для рекрутингу, з кандидатами спілкується чатбот штучного інтелекту на імʼя Олівія.
- Вона приймає заявки, запитує резюме і направляє на тести.
- Проте вразливість виявилася не в самому боті, а в доступі до бекенду.
- Дослідники безпеки Ян Керролл і Сем Каррі натрапили на вхід до облікового запису Paradox.ai (компанії, яка створила McHire) і вирішили спробувати найпростіші варіанти паролів.
- Один із них, “123456”, відкрив доступ до повноцінного облікового запису з адміністраторськими правами, і на це знадобилося лише 30 секунд.
- У системі не було багатофакторної автентифікації, а обліковий запис не використовували з 2019 року, але він все ще працював.
- Після входу в систему дослідники помітили, що можуть змінювати ідентифікатори заявників у URL-адресі, і таким чином відкривати чужі заявки, переглядати особисті дані і листування з ботом. Вони підтвердили наявність до 64 мільйонів записів.
У Paradox.ai підтвердили інцидент і заявили, що лише невелика частина записів містила персональні дані. У McDonald’s інцидент назвали “неприйнятним” і поклали відповідальність на стороннього постачальника.
На думку дослідників, небезпека у тому, що зловмисники могли видавати себе за представників McDonald’s і, маючи контактні дані, надсилати шахрайські листи з проханням надати, наприклад, банківські реквізити для “нарахування зарплати”.
0
Підписуйтеся на наші соцмережі
Спільнота
Пиши на SPEKA!
Будь в курсі зі SPEKA!
Раз на тиждень ми будемо відправляти вам найцікавіші редакційні матеріали.
