Pesquisadores de cibersegurança descobriram uma vulnerabilidade na plataforma de aplicação para vagas de emprego via chatbot do McDonald's, chamada McHire, que expôs os chats de mais de 64 milhões de candidaturas nos Estados Unidos.
A falha foi descoberta pelos pesquisadores de segurança Ian Carroll e Sam Curry, que notaram que o painel administrativo do ChatBot usava uma franquia de teste protegida por credenciais fracas, com nome de usuário "123456" e senha "123456".
O McHire, desenvolvido pela Paradox.ai e utilizado por cerca de 90% dos franqueados do McDonald's, aceita candidaturas de emprego por meio de um chatbot chamado Olivia.
Os candidatos podem enviar nomes, endereços de email, números de telefone, endereços residenciais e disponibilidade, além de serem obrigados a completar um teste de personalidade como parte do processo de aplicação.
Após acessarem o sistema, os pesquisadores submeteram uma candidatura de emprego à franquia de teste para entender como o processo funcionava.
Durante esse teste, eles perceberam que solicitações HTTP eram enviadas para um endpoint de API em /api/lead/cem-xhr, que usava um parâmetro chamado lead_id, que, no caso deles, era 64.185.742.
Os pesquisadores descobriram que, incrementando ou decrementando o parâmetro lead_id, eles conseguiam expor os transcritos completos dos chats, tokens de sessão e dados pessoais de candidatos reais que haviam aplicado no McHire anteriormente.
Esse tipo de falha é conhecido como vulnerabilidade IDOR (Insecure Direct Object Reference), que ocorre quando uma aplicação expõe identificadores internos de objetos, como números de registros, sem verificar se o usuário tem autorização para acessar os dados.
"Durante uma análise de segurança preliminar de algumas horas, identificamos dois problemas graves: a interface de administração do McHire para proprietários de restaurantes aceitava as credenciais padrão 123456:123456, e uma referência de objeto direto insegura (IDOR) em uma API interna nos permitiu acessar quaisquer contatos e chats que quiséssemos," explicou Carroll em um relatório sobre a falha.
Juntos, eles nos permitiram, e a qualquer outra pessoa com uma conta McHire e acesso a qualquer caixa de entrada, recuperar os dados pessoais de mais de 64 milhões de candidatos.
Nesse caso, incrementar ou decrementar um número de lead_id em uma solicitação retornava dados sensíveis pertencentes a outros candidatos, já que a API não verificava se o usuário tinha acesso aos dados.
O problema foi reportado à Paradox.ai e ao McDonald's em 30 de junho.
O McDonald's reconheceu o relatório dentro de uma hora, e as credenciais administrativas padrão foram desabilitadas logo em seguida.
"Estamos decepcionados com esta vulnerabilidade inaceitável de um provedor terceirizado, Paradox.ai.
Assim que soubemos do problema, exigimos que a Paradox.ai corrigisse a questão imediatamente, e ela foi resolvida no mesmo dia em que foi reportada a nós," declarou o McDonald's à Wired em um comunicado sobre a pesquisa.
A Paradox implantou uma correção para abordar a falha IDOR e confirmou que a vulnerabilidade foi mitigada.
Desde então, a Paradox.ai afirmou que está conduzindo uma revisão de seus sistemas para prevenir a recorrência de problemas semelhantes.
A Paradox também informou que as informações expostas seriam quaisquer interações com o chatbot, como clicar em um botão, mesmo que nenhuma informação pessoal fosse inserida.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...