Các chuyên gia an ninh mạng vừa phát hiện một lỗ hổng nghiêm trọng trong nền tảng McHire – hệ thống chatbot tuyển dụng của McDonald’s, khiến hơn 64 triệu dữ liệu ứng tuyển việc làm tại Mỹ có nguy cơ bị rò rỉ thông tin cá nhân.
Lỗ hổng này xuất phát từ việc giao diện quản trị của một franchise thử nghiệm sử dụng thông tin đăng nhập cực kỳ yếu: username “123456” và password cũng là “123456”. Khi đăng nhập thành công, nhóm nghiên cứu đã phát hiện hệ thống API của McHire cho phép truy xuất các cuộc hội thoại ứng tuyển chỉ bằng cách thay đổi giá trị lead_id trong đường dẫn – một lỗi IDOR (Insecure Direct Object Reference) điển hình.
Cụ thể, chỉ cần tăng hoặc giảm lead_id, họ có thể xem được toàn bộ nội dung cuộc trò chuyện, token phiên làm việc, và thông tin cá nhân của các ứng viên đã nộp đơn trước đó – bao gồm tên, email, số điện thoại, địa chỉ, và kết quả bài đánh giá tính cách.
Điều đáng nói là lỗi IDOR này không đi kèm bất kỳ cơ chế xác thực hay phân quyền nào, cho phép bất kỳ ai có tài khoản McHire truy cập trái phép vào dữ liệu nhạy cảm của hàng triệu người. McHire được phát triển bởi Paradox.ai và hiện đang được sử dụng bởi khoảng 90% các cửa hàng nhượng quyền McDonald’s tại Hoa Kỳ.
Sau khi phát hiện, nhóm nghiên cứu đã thông báo cho McDonald’s và Paradox vào ngày 30/6. McDonald’s phản hồi rất nhanh và đã vô hiệu hóa ngay thông tin đăng nhập mặc định. Paradox sau đó cũng triển khai bản vá, xác nhận đã khắc phục lỗi IDOR, đồng thời mở rộng rà soát hệ thống để phòng ngừa lặp lại sự cố tương tự. Paradox cho biết thông tin bị lộ có thể bao gồm mọi tương tác giữa ứng viên và chatbot, ngay cả trong trường hợp ứng viên chưa điền thông tin cá nhân.
Sự cố này tiếp tục cho thấy một vấn đề nan giải trong bảo mật hệ thống: “bí mật không nên tồn tại trong code công khai.” Việc lưu trữ các thông tin nhạy cảm như APP_KEY, API token, hoặc thông tin đăng nhập admin trong mã nguồn và push lên GitHub hoặc các nền tảng CI/CD mà không kiểm soát là cánh cửa mở rộng cho tấn công từ xa.
