HackerNews 07月14日 10:35
麦当劳 AI 招聘平台曝 IDOR 漏洞,致全美 6400 万求职数据泄露
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html

 

安全研究人员发现麦当劳AI招聘平台McHire存在严重安全漏洞,导致超过6400万份求职申请的聊天数据面临泄露风险。该漏洞源于平台测试账户的弱凭证以及不安全的直接对象引用(IDOR)问题,使得攻击者能够访问求职者的完整聊天记录、会话令牌及个人数据。麦当劳和平台开发商Paradox.ai迅速响应并修复了漏洞,但此次事件引发了对AI招聘平台安全性的担忧。

🔓研究人员通过McHire平台测试账户的弱凭证(用户名密码均为“123456”)成功进入系统,暴露出平台安全措施的薄弱环节。

📝McHire平台的不安全直接对象引用(IDOR)漏洞允许攻击者通过修改API接口参数,访问其他求职者的完整聊天记录、会话令牌及个人数据,造成了大规模的数据泄露风险。

✍️麦当劳和Paradox.ai在漏洞报告提交后迅速采取行动,禁用了默认管理凭证并修复了IDOR漏洞。Paradox.ai承诺全面审查系统,防止类似问题再次发生。

📢即使申请人未提交个人信息,仅点击聊天按钮的交互行为也会被记录,这增加了数据泄露的潜在风险,并引发了对用户隐私保护的担忧。

HackerNews 编译,转载请注明出处:

安全研究人员发现麦当劳AI招聘平台McHire存在漏洞,导致全美超6400万份求职申请的聊天数据面临泄露风险。该漏洞由伊恩·卡罗尔(Ian Carroll)与萨姆·柯里(Sam Curry)发现,其利用平台测试账户的弱凭证(用户名密码均为“123456”)进入系统。

McHire平台由Paradox.ai开发,约90%的麦当劳加盟商使用其AI聊天机器人Olivia处理求职申请。应聘者需提交姓名、邮箱、电话、住址及可工作时间,并完成性格测试。

研究人员登录后通过测试餐厅提交申请,观察到HTTP请求发送至/api/lead/cem-xhr接口,其中lead_id参数值为64185742。通过增减该参数值,他们成功越权访问其他求职者的完整聊天记录、会话令牌及个人数据。此漏洞属于不安全的直接对象引用(IDOR)——当应用程序未验证用户权限即暴露内部对象标识符(如记录编号)时,攻击者可任意访问数据。

卡罗尔在漏洞报告中指出:“初步安全审查仅数小时就发现两处严重缺陷:餐厅业主管理界面接受默认凭证123456:123456,且内部API的IDOR漏洞允许访问任意联系人和聊天数据。二者结合使任何McHire账户持有者能窃取6400万申请人的隐私信息。”

该问题于6月30日报告至Paradox.ai与麦当劳。麦当劳一小时内确认报告,随即禁用默认管理凭证。麦当劳向媒体声明:“对第三方供应商Paradox.ai存在如此不可接受的漏洞深感失望。获悉后立即要求其修复,问题在报告当日即获解决。”Paradox.ai部署补丁修复IDOR漏洞,并承诺全面审查系统防止类似问题重现。该公司补充说明,即使申请人未提交个人信息,仅点击聊天按钮的交互行为也会被记录。

 

 

 


消息来源: bleepingcomputer

本文由 HackerNews.cc 翻译整理,封面来源于网络;

转载请注明“转自 HackerNews.cc”并附上原文

Fish AI Reader

Fish AI Reader

AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。

FishAI

FishAI

鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑

联系邮箱 441953276@qq.com

相关标签

麦当劳 AI招聘 数据泄露 安全漏洞 隐私保护
相关文章