Lỗ hổng này được phát hiện bởi các nhà nghiên cứu bảo mật Ian Carroll và Sam Curry, cho thấy bảng điều khiển quản trị của ChatBot đã sử dụng một chương trình thử nghiệm được bảo vệ bằng thông tin đăng nhập yếu với tên đăng nhập "123456" và mật khẩu "123456".

McHire, được hỗ trợ bởi Paradox.ai và được khoảng 90% các bên nhượng quyền của McDonald's sử dụng, chấp nhận đơn xin việc thông qua một chatbot có tên Olivia. Ứng viên có thể gửi tên, địa chỉ email, số điện thoại, địa chỉ nhà riêng và thông tin thời gian rảnh, đồng thời được yêu cầu hoàn thành bài kiểm tra tính cách như một phần của quy trình ứng tuyển.

Sau khi đăng nhập, các nhà nghiên cứu đã gửi đơn xin việc đến đơn vị thử nghiệm để xem quy trình hoạt động như thế nào.

Trong quá trình thử nghiệm này, họ nhận thấy các yêu cầu giao thức truyền tải HTTP được gửi đến điểm cuối Giao diện lập trính ứng dụng (API) tại /api/lead/cem-xhr, sử dụng tham số lead_id, trong trường hợp của họ là 64.185.742.

Các nhà nghiên cứu phát hiện ra rằng bằng cách tăng và giảm tham số lead_id, họ có thể tiết lộ toàn bộ bản ghi trò chuyện, mã thông báo phiên và dữ liệu cá nhân của những người xin việc thực sự đã nộp đơn trước đó trên McHire.

Loại lỗ hổng này được gọi là lỗ hổng IDOR (Tham chiếu đối tượng trực tiếp không an toàn), xảy ra khi một ứng dụng tiết lộ các mã định danh đối tượng nội bộ, chẳng hạn như số bản ghi, mà không xác minh xem người dùng có thực sự được phép truy cập dữ liệu hay không.

"Trong quá trình xem xét bảo mật sơ bộ kéo dài vài giờ, chúng tôi đã xác định được hai vấn đề nghiêm trọng, đó là giao diện quản trị McHire dành cho chủ nhà hàng chấp nhận thông tin đăng nhập mặc định 123456:123456, và một tham chiếu đối tượng trực tiếp (IDOR) không an toàn trên API nội bộ cho phép chúng tôi truy cập bất kỳ liên hệ và cuộc trò chuyện nào chúng tôi muốn", Carroll giải thích trong bài viết về lỗ hổng.

"Cùng với đó, chúng cho phép chúng tôi và bất kỳ ai có tài khoản McHire và quyền truy cập vào bất kỳ hộp thư đến nào để truy xuất dữ liệu cá nhân của hơn 64 triệu ứng viên."

Trong trường hợp này, việc tăng hoặc giảm số lead_id trong yêu cầu sẽ trả về dữ liệu nhạy cảm thuộc về các ứng viên khác, vì API không kiểm tra xem người dùng có quyền truy cập vào dữ liệu hay không.

Sự cố đã được báo cáo cho Paradox.ai và McDonald's vào ngày 30 tháng 6.

McDonald's đã xác nhận báo cáo trong vòng một giờ và thông tin đăng nhập quản trị mặc định đã bị vô hiệu hóa ngay sau đó.

"Chúng tôi rất thất vọng trước lỗ hổng không thể chấp nhận được này từ nhà cung cấp bên thứ ba, Paradox.ai. Ngay khi phát hiện ra sự cố, chúng tôi đã yêu cầu Paradox.ai khắc phục sự cố ngay lập tức, và sự cố đã được giải quyết ngay trong ngày chúng tôi nhận được báo cáo", McDonald's chia sẻ với trong một tuyên bố về nghiên cứu này.

Paradox đã triển khai bản vá để khắc phục lỗ hổng IDOR và xác nhận rằng lỗ hổng đã được khắc phục. Paradox.ai sau đó tuyên bố rằng họ đang tiến hành đánh giá lại hệ thống của mình để ngăn chặn các sự cố lớn tương tự tái diễn.

Paradox cũng đã chia sẻ rằng, thông tin bị lộ sẽ là bất kỳ tương tác nào với chatbot, chẳng hạn như nhấp vào nút, ngay cả khi không nhập thông tin cá nhân nào.