HackerNews 编译,转载请注明出处:
安全研究人员发现麦当劳AI招聘平台McHire存在漏洞,导致全美超6400万份求职申请的聊天数据面临泄露风险。该漏洞由伊恩·卡罗尔(Ian Carroll)与萨姆·柯里(Sam Curry)发现,其利用平台测试账户的弱凭证(用户名密码均为“123456”)进入系统。
McHire平台由Paradox.ai开发,约90%的麦当劳加盟商使用其AI聊天机器人Olivia处理求职申请。应聘者需提交姓名、邮箱、电话、住址及可工作时间,并完成性格测试。
研究人员登录后通过测试餐厅提交申请,观察到HTTP请求发送至/api/lead/cem-xhr接口,其中lead_id参数值为64185742。通过增减该参数值,他们成功越权访问其他求职者的完整聊天记录、会话令牌及个人数据。此漏洞属于不安全的直接对象引用(IDOR)——当应用程序未验证用户权限即暴露内部对象标识符(如记录编号)时,攻击者可任意访问数据。
卡罗尔在漏洞报告中指出:“初步安全审查仅数小时就发现两处严重缺陷:餐厅业主管理界面接受默认凭证123456:123456,且内部API的IDOR漏洞允许访问任意联系人和聊天数据。二者结合使任何McHire账户持有者能窃取6400万申请人的隐私信息。”
该问题于6月30日报告至Paradox.ai与麦当劳。麦当劳一小时内确认报告,随即禁用默认管理凭证。麦当劳向媒体声明:“对第三方供应商Paradox.ai存在如此不可接受的漏洞深感失望。获悉后立即要求其修复,问题在报告当日即获解决。”Paradox.ai部署补丁修复IDOR漏洞,并承诺全面审查系统防止类似问题重现。该公司补充说明,即使申请人未提交个人信息,仅点击聊天按钮的交互行为也会被记录。
消息来源: bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文