McHire: McDonald’s хранил данные 64 млн людей под паролем «123 456»

Сервис McHire, разработанный компанией Paradox.ai и используемый для автоматизации процесса найма сотрудников в сети ресторанов быстрого питания McDonald’s, выявил уязвимости в системе безопасности. McHire предоставляет возможность подачи заявлений о приеме на работу через чат-бота, известного как Оливия, и применяется в 90% франшиз McDonald’s.

В ходе исследования было обнаружено, что неавторизованные пользователи могут получить доступ к административной панели веб-сайта McHire с использованием стандартных учетных данных (логин и пароль) «123456». Это позволило исследователям просматривать информацию о вакансиях и персональных данных соискателей, включая имена, контактные данные, сведения о предпочтительных сменах, а также историю переписки и результаты тестирования.

Дополнительно была выявлена уязвимость в программном интерфейсе приложения (API), которая позволяла несанкционированно получать доступ к профилям кандидатов путем изменения идентификаторов в URL-адресах запросов.

Уязвимости создавали потенциальную угрозу для персональных данных более 64 миллионов кандидатов, которые подавали заявления о приеме на работу в сеть ресторанов McDonald’s. Компания Paradox.ai оперативно отреагировала на обнаруженные проблемы, приняла меры по закрытию доступа и устранению уязвимостей, а также заявила о намерении провести дополнительные аудиты системы безопасности, пишет Ферра.