افشای اطلاعات 64 میلیون متقاضی در اپلیکیشن مک‌دونالد

به گزارش کارگروه حملات سایبری سایبربان؛ آسیب‌پذیری‌های موجود در پلتفرم استخدام چت‌بات مک‌دونالد موسوم به مک‌هایر (McHire) مک‌دونالد، داده‌های ۶۴ میلیون متقاضی کار را به دلیل رابط‌های برنامه‌نویسی کاربردی (API) داخلی ناامن افشا کرد.

محققان امنیتی ایان کارول (Ian Carroll) و سم کوری (Sam Curry) چندین آسیب‌پذیری را در مک‌هایر کشف کردند که اطلاعات شخصی بیش از ۶۴ میلیون متقاضی کار را افشا می‌کرد.

این دو محقق امنیتی دریافتند که ربات استخدام مک‌دونالد، که توسط «Paradox.ai» ساخته شده، دارای نقص‌های عمده‌ای مانند یک حساب آزمایشی با نام کاربری و رمز عبور تنظیم شده روی «۱۲۳۴۵۶» و یک رابط برنامه‌نویسی کاربردی ناامن است. این نقص‌ها به آنها اجازه می‌داد تا به چت‌های خصوصی بین جویندگان کار و ربات دسترسی پیدا کنند. آنها حتی به یک رستوران آزمایشی دسترسی مدیریتی پیدا کردند و داده‌های کارکنان داخلی و مصاحبه‌های مداوم را مشاهده نمودند. این اشکال به دلیل تنظیمات امنیتی ضعیف، اطلاعات حساس میلیون‌ها متقاضی را افشا کرد.

در گزارش منتشر شده توسط کارشناسان آمده است:

«طی یک بررسی امنیتی سرسری چند ساعته، دو مشکل جدی را شناسایی کردیم: رابط کاربری مدیریت مک‌هایر برای صاحبان رستوران، اعتبارنامه‌های پیش‌فرض ۱۲۳۴۵۶:123456 را می‌پذیرفت و یک ارجاع مستقیم ناامن به شیء (IDOR) در یک رابط برنامه‌نویسی کاربردی داخلی به ما اجازه می‌داد به هر مخاطب و چتی که می‌خواستیم دسترسی پیدا کنیم. این دو با هم به ما و هر کس دیگری که دارای حساب مک‌هایر و دسترسی به هر صندوق ورودی بود، اجازه می‌دادند تا اطلاعات شخصی بیش از ۶۴ میلیون متقاضی را بازیابی کنیم.»

محققان برنامه شغلی مک‌هایر مک‌دونالد را با درخواست شغل، تعامل با ربات چت آن اولیویا (Olivia) و انجام یک آزمون شخصیت که توسط «Traitify» ارائه شده بود، آزمایش کردند. این فرآیند در انتظار بررسی انسانی متوقف شد. آنها کنجکاوانه صفحه ورود به سیستم برای مدیران مک‌هایر را بررسی کردند و گزینه «اعضای تیم Paradox» را یافتند. با استفاده از اعتبارنامه‌های پیش‌فرض «۱۲۳۴۵۶» / «۱۲۳۴۵۶»، آنها به طور غیرمنتظره‌ای به یک حساب آزمایشی رستوران دسترسی مدیریتی پیدا کردند. این موضوع نحوه‌ی عملکرد سیستم را آشکار کرد و داده‌های داخلی کارکنان Paradox.ai را در معرض خطر قرار داد، اگرچه در آن زمان هنوز خطرات امنیتی عمیق‌تر داده‌ها را اثبات نکرده بودند.

کارشناسان متوجه شدند که صاحبان رستوران می‌توانند برای مشاهده‌ی متقاضیان به آدرس https://www.mchire.com/signin وارد شوند. اگرچه این برنامه سعی می‌کند احراز هویت یکپارچه (SSO) را برای مک‌دونالد اجباری کند، اما یک لینک کوچک‌تر برای اعضای تیم پارادوکس وجود دارد که توجه ما را جلب کرد.

بدون فکر زیاد، «123456» را به عنوان نام کاربری و «123456» را به عنوان رمز عبور وارد کردند و از دیدن اینکه بلافاصله وارد سیستم شدند، شگفت‌زده شدند!

محققان هنگام تجزیه و تحلیل یک پست شغلی آزمایشی در سیستم مک‌هایر مک‌دونالد، درخواست خود را از سمت رستوران مشاهده کردند و یک رابط برنامه‌نویسی کاربردی پنهان پیدا کردند که به آنها اجازه دسترسی به داده‌های چت را می‌داد. با کمی تغییر یک عدد در درخواست (lead_id)، آنها ناگهان اطلاعات شخصی، مانند نام، ایمیل، شماره تلفن و جزئیات شغل، را از متقاضیان واقعی مک‌دونالد مشاهده کردند.

کارشناسان اظهار داشتند:

«ما به سرعت متوجه شدیم که این رابط برنامه‌نویسی کاربردی به ما اجازه می‌دهد به هر تعامل چتی که تاکنون برای شغل در مک‌دونالد درخواست داده شده است، دسترسی داشته باشیم.»

نگران‌کننده‌تر اینکه، آنها می‌توانستند به تاریخچه چت و حتی توکن‌های احراز هویت برای جعل هویت متقاضیان دسترسی پیدا کنند. با درک این مقیاس، احتمالاً تمام درخواست‌های شغلی که تاکنون ارسال شده‌اند، در دسترس خواهند بود. این دو نفر سعی کردند به Paradox.ai اطلاع دهند که به سرعت مشکل را برطرف کرد و بهبودهای امنیتی را اعلام کرد.