Onderzoekers hebben een kwetsbaarheid gevonden in het chatbotplatform voor jobs bij fastfoodketen McDonald’s.
Login-naam ‘123456’ en wachtwoord ‘123456’, het is het soort standaardopstelling die je nog zelden vindt, zelfs bij nieuwe, niet-geïnstalleerde producten. Maar het volledige administratiepaneel van een groot jobplatform kon je met deze login aanspreken. Het gaat om het platform waar Amerikaanse sollicitanten zich via een chatbot kunnen inschrijven op vacatures voor fastfoodketen McDonald’s. In totaal konden via dat platform, McHire, 64 miljoen inschrijvingen met de bijhorende soms gevoelige data gelekt worden.
De kwetsbaarheid werd gevonden door security-onderzoekers Ian Carroll en Sam Curry. Zij bekeken het chatplatform, dat draait op Paradox.ai, en merkten daar twee belangrijke kwetsbaarheden op. McHire wordt gebruikt door 90% van de McDonald’s franchises in de Verenigde Staten. Wie bij de keten wil werken, kan via de chatbot namen, e-mailadressen, telefoonnummers, thuisadressen en andere informatie ingeven die een werkgever nodig heeft om mogelijke werknemers te contacteren. Sollicitanten moeten ook een persoonlijkheidstest ondergaan.
Lead id
De onderzoekers testten het systeem eerst door zichzelf in te schrijven als sollicitant. Tijdens die test vonden ze dat het systeem een http-verzoek stuurt naar een API-endpoint met een lead_id (in dit geval 64,185,742). Door die parameter te verminderen of te vermeerderen, konden ze de volledige chat-transcripties bekijken van alle vorige sollicitanten.
Daarnaast vonden de researchers ook een erg zwakke login. Ze merkten op dat er een account open stond voor een testfranchise van de keten. Daarmee kon je inloggen als franchise-restaurant op het platform met de standaard login 123456 en wachtwoord 123456. Vanuit dat paneel konden de onderzoekers chats en gegevens opvragen van specifieke kandidaten. ‘Deze twee kwetsbaarheden lieten ons en eender wie anders met een McHire account toe om de inbox te bekijken en persoonlijke gegevens op te vragen van zo’n 64 miljoen sollicitanten’, aldus de onderzoekers.
De testresultaten zijn ondertussen aan McDonald’s doorgegeven, en de admin credentials zijn dezelfde dag nog onklaar gemaakt. In een reactie zegt de restaurantketen teleurgesteld te zijn in Paradox.ai. Die provider zegt aan securitysite BleepingComputer ondertussen ook de fout met de Lead_id te hebben opgelost.