Beveiligingsonderzoekers hebben een ernstige kwetsbaarheid ontdekt in McDonald’s McHire-platform dat persoonlijke data van mogelijk miljoenen sollicitanten blootstelde. Het systeem gebruikt een externe ai-chatbot voor het screenen van kandidaten en het verzamelen van contactgegevens. Maar die bleek onvoldoende beveiligd.
De onderzoekers Ian Carroll en Sam Curry kregen volgens Wired binnen dertig minuten volledige toegang tot het systeem door het wachtwoord ‘123456’ te raden voor een administratoraccount zonder multi-factor-authenticatie. Het probleem situeerde zich bij de toepassing, aangeboden door het externe softwarebedrijf Paradox.ai. Zo communiceerden sollicitanten via de door hen ontworpen ai-chatbot .
Olivia weinig discreet
Olivia was de naam van die ai-chatbot die Paradox.ai voor McDonald’s had ontwikkeld. Maar Olivia bleek, door haar ontoereikende beveiliging, dus weinig discreet. De elementaire beveiligingsfout gaf toegang tot alle chatgesprekken, namen, e-mailadressen en telefoonnummers van sollicitanten.
Naast het zwakke wachtwoord ontdekten de onderzoekers een tweede kritieke kwetsbaarheid, via een zogenaamde insecure direct object reference in de databank van kandidaten. Dat is een beveiligingslek waarbij een applicatie interne object-id’s, zoals database-id’s of bestandspaden, rechtstreeks blootstelt aan gebruikers, zonder de juiste toegangscontroles.
Door sollicitant-ID-nummers te manipuleren konden ze chatlogboeken en contactgegevens van andere sollicitanten inzien. Het systeem bevatte meer dan 64 miljoen records, waarbij checks uitwezen dat deze echte sollicitantgegevens bevatten.
Wachtwoord ‘123456’
Paradox.ai bevestigde de bevindingen in een blogpost en stelde dat slechts een fractie van de geraadpleegde records persoonlijke informatie bevatte. Het bedrijf voegde toe dat het administratoraccount met het zwakke wachtwoord sinds 2019 niet was gebruikt en eigenlijk had moeten worden stopgezet.
Ook de keuze van het banale wachtwoord zelf was ongelukkig, al is het tegelijk een bevestiging van ondoordachte of nonchalante security. In de lijst van veelgebruikte wachtwoorden staat ‘123456’ steevast bovenaan als wachtwoord dat het meest wordt gebruikt.
Phishing-risico
McDonald’s reageerde teleurgesteld op wat zij noemden ’een onaanvaardbare kwetsbaarheid van een externe leverancier’. Het bedrijf mandateerde Paradox.ai om het probleem onmiddellijk op te lossen, wat nog dezelfde dag gebeurde. Al lijkt het kwaad intussen wel geschied.
De blootgestelde gegevens creëerden volgens de onderzoekers aanzienlijke phishing-risico’s, omdat fraudeurs zich zouden kunnen voordoen als McDonald’s recruiters om financiële informatie te verkrijgen voor directe stortingen.
