به گزارش کارگروه حملات سایبری سایبربان؛ آسیبپذیریهای موجود در پلتفرم استخدام چتبات مکدونالد موسوم به مکهایر (McHire) مکدونالد، دادههای ۶۴ میلیون متقاضی کار را به دلیل رابطهای برنامهنویسی کاربردی (API) داخلی ناامن افشا کرد.
محققان امنیتی ایان کارول (Ian Carroll) و سم کوری (Sam Curry) چندین آسیبپذیری را در مکهایر کشف کردند که اطلاعات شخصی بیش از ۶۴ میلیون متقاضی کار را افشا میکرد.
این دو محقق امنیتی دریافتند که ربات استخدام مکدونالد، که توسط «Paradox.ai» ساخته شده، دارای نقصهای عمدهای مانند یک حساب آزمایشی با نام کاربری و رمز عبور تنظیم شده روی «۱۲۳۴۵۶» و یک رابط برنامهنویسی کاربردی ناامن است. این نقصها به آنها اجازه میداد تا به چتهای خصوصی بین جویندگان کار و ربات دسترسی پیدا کنند. آنها حتی به یک رستوران آزمایشی دسترسی مدیریتی پیدا کردند و دادههای کارکنان داخلی و مصاحبههای مداوم را مشاهده نمودند. این اشکال به دلیل تنظیمات امنیتی ضعیف، اطلاعات حساس میلیونها متقاضی را افشا کرد.
در گزارش منتشر شده توسط کارشناسان آمده است:
«طی یک بررسی امنیتی سرسری چند ساعته، دو مشکل جدی را شناسایی کردیم: رابط کاربری مدیریت مکهایر برای صاحبان رستوران، اعتبارنامههای پیشفرض ۱۲۳۴۵۶:123456 را میپذیرفت و یک ارجاع مستقیم ناامن به شیء (IDOR) در یک رابط برنامهنویسی کاربردی داخلی به ما اجازه میداد به هر مخاطب و چتی که میخواستیم دسترسی پیدا کنیم. این دو با هم به ما و هر کس دیگری که دارای حساب مکهایر و دسترسی به هر صندوق ورودی بود، اجازه میدادند تا اطلاعات شخصی بیش از ۶۴ میلیون متقاضی را بازیابی کنیم.»
محققان برنامه شغلی مکهایر مکدونالد را با درخواست شغل، تعامل با ربات چت آن اولیویا (Olivia) و انجام یک آزمون شخصیت که توسط «Traitify» ارائه شده بود، آزمایش کردند. این فرآیند در انتظار بررسی انسانی متوقف شد. آنها کنجکاوانه صفحه ورود به سیستم برای مدیران مکهایر را بررسی کردند و گزینه «اعضای تیم Paradox» را یافتند. با استفاده از اعتبارنامههای پیشفرض «۱۲۳۴۵۶» / «۱۲۳۴۵۶»، آنها به طور غیرمنتظرهای به یک حساب آزمایشی رستوران دسترسی مدیریتی پیدا کردند. این موضوع نحوهی عملکرد سیستم را آشکار کرد و دادههای داخلی کارکنان Paradox.ai را در معرض خطر قرار داد، اگرچه در آن زمان هنوز خطرات امنیتی عمیقتر دادهها را اثبات نکرده بودند.
کارشناسان متوجه شدند که صاحبان رستوران میتوانند برای مشاهدهی متقاضیان به آدرس https://www.mchire.com/signin وارد شوند. اگرچه این برنامه سعی میکند احراز هویت یکپارچه (SSO) را برای مکدونالد اجباری کند، اما یک لینک کوچکتر برای اعضای تیم پارادوکس وجود دارد که توجه ما را جلب کرد.
بدون فکر زیاد، «123456» را به عنوان نام کاربری و «123456» را به عنوان رمز عبور وارد کردند و از دیدن اینکه بلافاصله وارد سیستم شدند، شگفتزده شدند!
محققان هنگام تجزیه و تحلیل یک پست شغلی آزمایشی در سیستم مکهایر مکدونالد، درخواست خود را از سمت رستوران مشاهده کردند و یک رابط برنامهنویسی کاربردی پنهان پیدا کردند که به آنها اجازه دسترسی به دادههای چت را میداد. با کمی تغییر یک عدد در درخواست (lead_id)، آنها ناگهان اطلاعات شخصی، مانند نام، ایمیل، شماره تلفن و جزئیات شغل، را از متقاضیان واقعی مکدونالد مشاهده کردند.
کارشناسان اظهار داشتند:
«ما به سرعت متوجه شدیم که این رابط برنامهنویسی کاربردی به ما اجازه میدهد به هر تعامل چتی که تاکنون برای شغل در مکدونالد درخواست داده شده است، دسترسی داشته باشیم.»
نگرانکنندهتر اینکه، آنها میتوانستند به تاریخچه چت و حتی توکنهای احراز هویت برای جعل هویت متقاضیان دسترسی پیدا کنند. با درک این مقیاس، احتمالاً تمام درخواستهای شغلی که تاکنون ارسال شدهاند، در دسترس خواهند بود. این دو نفر سعی کردند به Paradox.ai اطلاع دهند که به سرعت مشکل را برطرف کرد و بهبودهای امنیتی را اعلام کرد.
