Des chercheurs ont découvert une vulnérabilité dans la plateforme du chatbot des offres d’emploi de la chaîne de restauration rapide McDonald’s.
Nom de connexion utilisateur ‘123456’ et mot de passe ‘123456’: c’est le genre de configuration par défaut que l’on trouve rarement de nos jours, même avec des produits récents et non-installés. Pourtant, cet identifiant a permis d’accéder à l’intégralité du panneau d’administration d’une importante plateforme d’emplois. C’est la plateforme sur laquelle les candidats américains pouvaient via un chatbot s’enregistrer aux offres d’emploi de la chaîne de restauration rapide McDonald’s. En tout, 64 millions d’inscriptions, ainsi que les données associées, parfois sensibles, ont été divulguées via cette plateforme, McHire.
Ce point faible a été découvert par les chercheurs en sécurité Ian Carroll et Sam Curry. Ils ont examiné la plateforme de chat, qui tourne sur Paradox.ai, et ont ainsi identifié deux vulnérabilités majeures. McHire est utilisée par 90 pour cent des franchises McDonald’s aux Etats-Unis. Les personnes souhaitant travailler pour la chaîne, peuvent utiliser le chatbot pour saisir leurs noms, adresses e-mail, numéros de téléphone, adresses personnelles et autres informations nécessaires aux employeurs pour prendre contact avec elles. Les candidats doivent également passer un test de personnalité.
Lead_id
Les chercheurs ont testé le système d’abord en s’enregistrant comme postulants. Lors de ce test, ils ont constaté que le système envoyait une requête HTTP à un terminal API avec un lead_id (dans ce cas 64,185,742). En augmentant ou en diminuant ce paramètre, ils ont pu consulter les transcriptions complètes de chat de tous les postulants précédents.
Les chercheurs ont en outre découvert un identifiant de connexion très faible. Ils ont observé qu’un compte était ouvert pour une franchise test de la chaîne. Les utilisateurs pouvaient ainsi se connecter à la plateforme en tant que restaurant franchisé avec l’identifiant par défaut 123456 et le mot de passe 123456. A partir de ce panneau, les chercheurs purent rapatrier les conversations et les données de candidats spécifiques. ‘Ces deux vulnérabilités nous ont permis, ainsi qu’à toute autre personne disposant d’un compte McHire, d’accéder à la boîte de réception et de récupérer les données personnelles de quelque 64 millions de candidats’, affirment les chercheurs.
Les résultats du test ont entre-temps été transmis à McDonald’s, et les ‘admin credentials’ (identifiants administrateur) ont été désactivés le jour même. En réaction, la chaîne de restaurants se déclare déçue par Paradox.ai. Ce fournisseur a également indiqué au site de sécurité BleepingComputer avoir résolu l’erreur Lead_id.