В июне 2025 года исследователи кибербезопасности Иэн Кэрролл и Сэм Карри обнаружили вопиющую уязвимость в платформе найма McDonald’s, известной как McHire.
Эта система, созданная компанией Paradox.ai, использует чат-бота Olivia для обработки заявлений на работу и сбора личной информации кандидатов, включая имена, адреса электронной почты, номера телефонов и данные о предпочтениях по сменам. Уязвимость позволила получить доступ к данным около 64 миллионов соискателей, используя невероятно слабые учетные данные: логин и пароль «123456».
Подробности инцидента
Исследователи обнаружили, что административная панель McHire использовала тестовую франшизу, защищенную упомянутыми слабыми учетными данными. Более того, уязвимость типа Insecure Direct Object Reference (IDOR) в API платформы позволяла получать доступ к данным других кандидатов, просто изменяя параметр lead_id в запросе. Это означало, что любой, у кого был доступ к аккаунту McHire, мог потенциально извлечь личные данные миллионов соискателей, включая историю переписки с ботом Olivia, контактные данные и результаты тестов личности.
Кэрролл и Карри сообщили о проблеме McDonald’s и Paradox.ai 30 июня 2025 года. McDonald’s отреагировал в течение часа, а уязвимость была устранена в тот же день. Компания Paradox.ai также объявила о запуске программы поиска уязвимостей (bug bounty), чтобы предотвратить подобные инциденты в будущем. По данным Paradox.ai, исследователи получили доступ к семи записям, из которых пять содержали личную информацию, но нет доказательств того, что данные были скомпрометированы третьими лицами.
Почему это важно?
Этот инцидент подчеркивает несколько критических проблем в области кибербезопасности:
- Слабые учетные данные: Использование пароля «123456» для защиты данных десятков миллионов людей — это грубое нарушение базовых принципов безопасности. Такие пароли легко подбираются и не соответствуют современным стандартам защиты данных.
- Недостатки сторонних платформ: McHire, разработанная Paradox.ai, демонстрирует риски, связанные с использованием сторонних сервисов. McDonald’s выразил разочарование в своем поставщике, указав на необходимость тщательной проверки и аудита партнеров.
- Уязвимости API: Ошибка IDOR в API платформы позволяла легко манипулировать запросами для получения данных других пользователей. Это указывает на недостаточную проверку прав доступа и слабую архитектуру безопасности.
- Риски для пользователей: Утечка таких данных, как имена, электронные письма и номера телефонов, создает угрозу фишинговых атак и мошенничества. Злоумышленники могли бы использовать эти данные для рассылки поддельных писем от имени McDonald’s, чтобы выманивать финансовую информацию или другие конфиденциальные данные.
Уроки для бизнеса и пользователей
Этот инцидент служит напоминанием о важности соблюдения стандартов кибербезопасности:
- Сильные пароли: Пароли должны быть уникальными, сложными, содержать буквы разного регистра, цифры и специальные символы. Рекомендуется менять их не реже одного раза в три месяца.
- Многофакторная аутентификация (MFA): Отсутствие MFA в McHire усугубило проблему. MFA должна быть обязательной для систем, содержащих конфиденциальные данные.
- Аудит сторонних поставщиков: Компании должны регулярно проверять безопасность своих партнеров, особенно если они обрабатывают личные данные клиентов или сотрудников.
- Обучение персонала: Регулярное обучение сотрудников основам кибербезопасности может предотвратить подобные ошибки, такие как использование слабых паролей.
- Программы bug bounty: Paradox.ai запустила программу поиска уязвимостей после инцидента, что является правильным шагом. Такие программы помогают выявлять слабые места до того, как ими воспользуются злоумышленники.
Реакция общественности
На платформе X пользователи активно обсуждали инцидент, подчеркивая абсурдность использования пароля «123456» для защиты данных миллионов людей. Некоторые посты выражали обеспокоенность уязвимостью AI-систем, в то время как другие высмеивали небрежность в подходе к безопасности.
Заключение
Инцидент с McHire — это тревожный пример того, как даже крупные корпорации могут пренебрегать базовыми мерами безопасности, подвергая риску миллионы людей. В эпоху, когда кибератаки становятся все более изощренными, использование слабых паролей и отсутствие должной защиты API недопустимы. Компаниям необходимо инвестировать в кибербезопасность, проводить регулярные аудиты и внедрять передовые практики, чтобы защитить данные своих клиентов и сотрудников. Для пользователей же это напоминание о необходимости быть бдительными, использовать надежные пароли и внимательно относиться к любым запросам личной информации, особенно если они исходят от якобы знакомых брендов.
