Senha "123456" expõe dados de 64 milhões de candidaturas em chatbot de empregos do McDonald's

Uma falha de segurança alarmante foi descoberta no McHire, a plataforma de chatbot para candidaturas de emprego do McDonald's, expondo os registros de chat de mais de 64 milhões de candidaturas em todo o território dos Estados Unidos. A vulnerabilidade, que se manifestou por meio de uma combinação de credenciais fracas e uma falha de design, trouxe à tona sérias preocupações sobre a proteção de dados pessoais em sistemas de recrutamento automatizados.

A descoberta foi feita pelos pesquisadores de segurança Ian Carroll e Sam Curry. Eles identificaram que o painel de administração do chatbot utilizava uma franquia de testes protegida por credenciais extremamente fracas: "123456" como nome de usuário e "123456" como senha.

O McHire, impulsionado pela tecnologia da Paradox.ai e utilizado por cerca de 90% das franquias do McDonald's, processa candidaturas de emprego por meio de um chatbot chamado Olivia. Os candidatos fornecem informações como nomes, endereços de e-mail, números de telefone, endereços residenciais e disponibilidade, além de serem solicitados a completar um teste de personalidade como parte do processo de inscrição.

Ao efetuar login com as credenciais padrão, os pesquisadores simularam uma candidatura para a franquia de testes. Durante esse processo, eles notaram que as solicitações HTTP eram enviadas para um endpoint da API em /api/lead/cem-xhr, que usava um parâmetro lead_id. No caso do teste, esse lead_id era 64.185.742.

Os pesquisadores descobriram que, ao incrementar e decrementar o parâmetro lead_id, eles conseguiam acessar as transcrições completas do chat, tokens de sessão e dados pessoais de candidatos reais que haviam se inscrito anteriormente no McHire.

Essa falha é classificada como uma vulnerabilidade IDOR (Insecure Direct Object Reference). Esse tipo de vulnerabilidade ocorre quando uma aplicação expõe identificadores de objetos internos, como números de registro, sem verificar se o usuário está de fato autorizado a acessar os dados correspondentes.

"Durante uma revisão superficial de segurança de algumas horas, identificamos dois problemas graves: a interface de administração do McHire para proprietários de restaurantes aceitava as credenciais padrão 123456:123456, e uma referência de objeto direto insegura (IDOR) em uma API interna nos permitiu acessar quaisquer contatos e chats que quiséssemos", explicou Carroll em um relatório sobre a falha. "Juntos, eles nos permitiram – e a qualquer outra pessoa com uma conta McHire e acesso a qualquer caixa de entrada – recuperar os dados pessoais de mais de 64 milhões de candidatos."

Nesse cenário, ao modificar um número lead_id em uma solicitação, o sistema retornava dados sensíveis pertencentes a outros candidatos, pois a API falhava em verificar se o usuário tinha permissão para acessar esses dados.

O problema foi prontamente reportado à Paradox.ai e ao McDonald's em 30 de junho. O McDonald's reconheceu o relatório em menos de uma hora, e as credenciais de administrador padrão foram desativadas logo em seguida.

"Estamos desapontados com esta vulnerabilidade inaceitável de um provedor terceirizado, Paradox.ai. Assim que tomamos conhecimento do problema, exigimos que a Paradox.ai o corrigisse imediatamente, e ele foi resolvido no mesmo dia em que nos foi relatado", declarou o McDonald's à Wired em um comunicado sobre a pesquisa.

A Paradox.ai implementou uma correção para a falha IDOR e confirmou que a vulnerabilidade foi mitigada. A empresa afirmou que está conduzindo uma revisão completa de seus sistemas para evitar que problemas semelhantes ocorram novamente.

A Paradox também informou que as informações expostas incluíam qualquer interação do chatbot, como o clique em um botão, mesmo que nenhuma informação pessoal tivesse sido inserida.

Via - BC