龙猫 2025-07-12 08:45 上海
安小圈
🔑McHire平台管理员后台使用默认弱密码“123456:123456”,为攻击者提供了入侵的便利,导致安全防线形同虚设。
🔍API接口存在不安全直接对象引用(IDOR)漏洞,攻击者可通过修改ID编号遍历获取所有求职者的详细资料,包括个人信息、求职状态等。
⚠️McHire平台累计处理超过6400万份求职申请,潜在泄露数据包括姓名、邮箱、电话、地址、求职状态、用户令牌等敏感信息,可能引发身份盗用等风险。
龙猫 2025-07-12 08:45 上海
安小圈
01
漏洞细节:弱密码与 API 缺陷双重风险
网络安全研究人员伊恩・卡罗尔(Ian Carroll)和萨姆・库里(Sam Curry)近期披露,麦当劳旗下招聘聊天机器人平台 McHire 存在严重安全漏洞 —— 其管理员后台竟使用 "123456:123456" 的默认弱密码,同时内部 API 存在不安全直接对象引用(IDOR)漏洞。这意味着攻击者可轻易获取 6400 万份求职申请数据,包括申请人姓名、联系方式、地址等敏感信息。
研究人员在对 McHire 进行安全审查时发现,该平台为餐厅老板设置的管理界面竟未修改初始登录凭证。更严重的是,通过 API 接口的 ID 编号规则,攻击者可遍历获取所有申请人的完整资料,甚至包含求职状态变更记录和用户聊天授权令牌。这些信息足以让恶意者冒充求职者登录系统,进一步窃取原始聊天记录。
02
漏洞影响范围与数据类型
根据 API 接口的 ID 编号规律推算,McHire 平台累计处理超过 6400 万份求职申请。潜在泄露的数据包括:
个人身份信息:姓名、电子邮箱、电话号码、居住地址
求职过程数据:应聘状态变更记录、可工作班次等表单输入内容
系统访问权限:用户身份验证令牌,可用于登录消费者界面获取聊天记录
网络安全专家指出,此类漏洞暴露了企业在数字化招聘流程中的安全短板。"默认密码的存在简直不可原谅,这相当于给数据仓库留了一扇未上锁的大门",资深安全顾问维利乌斯・佩特考斯卡斯(Vilius Petkauskas)评论道。
03
漏洞处置与安全建议
研究团队在发现漏洞后立即向 McHire 技术服务商 Paradox.ai 报告,该公司在 24 小时内完成修复。目前 McHire 已更新管理员认证机制,并对 API 接口增加权限校验。
网络安全社区借此再次强调基础安全实践的重要性:
强制使用高强度唯一密码,禁用 "123456" 等默认凭证
对 API 接口实施细粒度权限控制,防止 IDOR 漏洞
定期开展第三方安全审计,特别是处理敏感数据的系统
建立漏洞应急响应机制,确保安全事件快速处置
当 AI 聊天机器人等新技术应用于核心业务流程时,基础安全措施的缺失可能导致灾难性后果。随着招聘流程全面数字化,6400 万份求职数据的泄露不仅影响企业声誉,更可能引发大规模身份盗用风险。
微软紧急修复高危蠕虫级RCE漏洞,威胁全网Windows系统
【HVV】护网系列 威胁情报共享7.8
【HVV】护网系列 威胁情报共享7.7
25HVV最新0day更新,各单位自查...
【HW】8个因护网被开除的网安人
HW应急溯源:50个高级命令实战指南
震惊全球!中国团队攻破RSA加密!RSA加密告急?
突发!小红书惊现后门......
2025年“净网”“护网”专项工作部署会在京召开,看看都说了哪些与你我相关的关键内容?
护网在即,企业还有什么新思路可以应对吗?
HW必备:50个应急响应常用命令速查手册二(实战收藏)
DeepSeek安全:AI网络安全评估与防护策略
虚拟机逃逸!VMware【高危漏洞】正被积极利用,国内公网暴露面最大
挖矿病毒【应急响应】处置手册
用Deepseek实现Web渗透自动化
【风险】DeepSeek等大模型私有化服务器部署近九成在“裸奔”,已知漏洞赶紧处理!
关于各大网安厂商推广「DeepSeek一体机」现象的深度分析
Deepseek真的能搞定【安全运营】?
【热点】哪些网络安全厂商接入了DeepSeek?
【2025】常见的网络安全服务大全(汇总详解)
AI 安全 |《人工智能安全标准体系(V1.0)》(征求意见稿),附下载
AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。
鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑