Vacaturesite van McDonalds blijkt beveiligd met 123456 als gebruikersnaam en wachtwoord

De kwetsbaarheid is gevonden door security-onderzoekers Ian Carroll en Sam Curry. Zij bekeken het chatplatform, dat draait op Paradox.ai, en merkten daar twee belangrijke kwetsbaarheden op. McHire wordt gebruikt door 90% van de McDonald’s franchises in de Verenigde Staten. Wie bij de keten wil werken, kan via de chatbot namen, e-mailadressen, telefoonnummers, thuisadressen en andere informatie ingeven die een werkgever nodig heeft om mogelijke werknemers te contacteren. Sollicitanten moeten ook een persoonlijkheidstest ondergaan.

Lead id

De onderzoekers testten het systeem eerst door zichzelf in te schrijven als sollicitant. Tijdens die test vonden ze dat het systeem een http-verzoek stuurt naar een API-endpoint met een lead_id (in dit geval 64,185,742). Door die parameter te verminderen of te vermeerderen, konden ze de volledige chat-transcripties bekijken van alle vorige sollicitanten.

Daarnaast vonden de researchers ook een erg zwakke login. Ze merkten op dat er een account open stond voor een testfranchise van de keten. Daarmee kon je inloggen als franchise-restaurant op het platform met de standaard login 123456 en wachtwoord 123456. Vanuit dat paneel konden de onderzoekers chats en gegevens opvragen van specifieke kandidaten. ‘Deze twee kwetsbaarheden lieten ons en eender wie anders met een McHire account toe om de inbox te bekijken en persoonlijke gegevens op te vragen van zo’n 64 miljoen sollicitanten’, aldus de onderzoekers.

De testresultaten zijn aan McDonald’s doorgegeven, en de admin credentials zijn dezelfde dag nog onklaar gemaakt. In een reactie zegt de restaurantketen teleurgesteld te zijn in Paradox.ai. Die provider zegt aan securitysite BleepingComputer inmiddels ook de fout met de Lead_id te hebben opgelost.

In samenwerking met Data News