一对 安全 研究人员 揭露 了麦当劳开发的 McHire 聊天机器人 Paradox 中的漏洞,这些漏洞可能被利用来泄露大约 6400 万名使用该服务申请当地分店工作的人员的个人信息。
我第一次“被黑”时才14岁。我在引号里加上了“黑客”这个词,因为那个账户的密码是“1234”(当然,不包括引号或句号,这更糟糕。)在我重新获得账户访问权限后,我开始使用密码管理器。
这有什么关系呢?因为发现这些漏洞的研究人员伊恩·卡罗尔和萨姆·库里能够猜出“悖论团队成员”用来访问 McHire 的密码:“123456”。我想,这比我以前用的密码稍微好一点,但不足以证明它在大多数人意识到使用弱密码是个坏主意几十年后还应该使用它。
有好消息:卡罗尔和库里写道:“我们发现我们已成为 McHire 系统中的一个测试餐厅的管理员,” “我们可以看到该餐厅的所有员工都是 Paradox.ai 公司的员工,McHire 背后的公司。这很好,因为我们现在可以看到该应用程序是如何工作的,但很烦人,因为我们仍然没有证明任何实际机密性或完整性影响。”
第二个漏洞就在于此。(或者,如果你是否认为糟糕的密码是一个真正的漏洞,那么它是第一个。)McHire API 中的不安全直接对象引用(IDOR)缺陷使卡罗尔和库里能够访问“任何曾经申请过麦当劳工作的人的每一次聊天交互”中的以下信息:
姓名、电子邮件地址、电话号码、地址
候选人状态以及候选人提交的每个状态变化/表单输入(他们可以工作的班次等)
用于登录消费者界面的身份验证令牌,泄露了该用户的原始聊天记录和其他信息
卡罗尔和库雷指出,派拉索之前曾吹嘘 90%的麦当劳加盟店都在招聘过程中使用 McHire。(该链接仍然指向派拉索博客上适当的那篇文章,但有关麦当劳的部分已被删除,而且 Wayback Machine 和谷歌的缓存都没有保存该文章的旧版本。真奇怪!)
那么让我们比较和对比一下。我十几岁的时候用 1234 这个密码注册了一个论坛账号;这个账号的泄露最终是无意义的。派拉索在 2020 年筹集了 2 亿美元,麦当劳的市值达到 2130 亿美元,而 McHire 的缺陷暴露了数百万人的信息。但至少他们的密码有两个字符长!
也许唯一的亮点是卡罗尔和库里表示,McHire 漏洞在披露后一天内得到了解决。希望涉及的公司现在会对自己设定一个 McHigher 标准。
0 条