Judul yang diperbarui untuk mencerminkan bahwa ini bukan 64 juta pelamar unik, melainkan aplikasi pada chatbot pekerjaan.
Peneliti cybersecurity menemukan kerentanan di MCHIRE, platform aplikasi pekerjaan Chatbot McDonald’s, yang mengekspos obrolan lebih dari 64 juta aplikasi pekerjaan di seluruh Amerika Serikat.
Kelemahan itu ditemukan oleh peneliti keamanan Ian Carroll dan Sam Curry, yang menemukan bahwa panel admin chatbot menggunakan waralaba uji yang dilindungi oleh kredensial lemah dari nama login “123456” dan kata sandi “123456”.
McHire, yang ditenagai oleh Paradox.ai dan digunakan oleh sekitar 90% dari franchisee McDonald’s, menerima aplikasi pekerjaan melalui chatbot bernama Olivia. Pelamar dapat mengirimkan nama, alamat email, nomor telepon, alamat rumah, dan ketersediaan, dan diharuskan untuk menyelesaikan tes kepribadian sebagai bagian dari proses aplikasi pekerjaan.
Setelah masuk, para peneliti mengajukan lamaran pekerjaan ke waralaba uji untuk melihat bagaimana prosesnya bekerja.
Selama tes ini, mereka memperhatikan bahwa permintaan HTTP dikirim ke titik akhir API AT/API/Lead/CEM-XHR, yang menggunakan parameter lead_id, yang dalam kasus mereka adalah 64.185.742.
Para peneliti menemukan bahwa dengan menambah dan mengurangi parameter lead_id, mereka dapat mengekspos transkrip obrolan lengkap, token sesi, dan data pribadi pelamar pekerjaan nyata yang sebelumnya diterapkan pada McHire.
Jenis cacat ini disebut kerentanan IDOR (Referensi Objek Langsung Insecure), yaitu ketika aplikasi memaparkan pengidentifikasi objek internal, seperti nomor catatan, tanpa memverifikasi apakah pengguna benar -benar diizinkan untuk mengakses data.
“Selama tinjauan keamanan sepintas beberapa jam, kami mengidentifikasi dua masalah serius: antarmuka administrasi MCHIRE untuk pemilik restoran menerima kredensial default 123456: 123456, dan referensi objek langsung yang tidak aman (IDOR) pada API internal memungkinkan kami untuk mengakses kontak dan obrolan yang kami inginkan,” Carroll) dijelaskan dalam sebuah artikel tentang cacat.
“Bersama -sama mereka mengizinkan kami dan siapa pun dengan akun MCHIRE dan akses ke kotak masuk apa pun untuk mengambil data pribadi lebih dari 64 juta pelamar.”
Dalam hal ini, menambah atau mengurangi nomor lead_id dalam permintaan yang dikembalikan data sensitif milik pelamar lain, karena API gagal memeriksa apakah pengguna memiliki akses ke data.
Masalah ini dilaporkan ke Paradox.ai dan McDonald’s pada 30 Juni.
McDonald’s mengakui laporan itu dalam waktu satu jam, dan kredensial admin default dinonaktifkan segera setelah itu.
“Kami kecewa dengan kerentanan yang tidak dapat diterima ini dari penyedia pihak ketiga, Paradox.ai. Segera setelah kami mengetahui masalah ini, kami mengamanatkan paradoks.ai untuk segera memulihkan masalah ini, dan itu diselesaikan pada hari yang sama dilaporkan kepada kami,” McDonald’s mengatakan kepada McDonald’s Kabel Dalam sebuah pernyataan tentang penelitian.
Paradox menggunakan perbaikan untuk mengatasi cacat idor dan mengkonfirmasi bahwa kerentanan itu dikurangi. Paradox.ai memiliki sejak dinyatakan bahwa ia melakukan tinjauan sistemnya untuk mencegah masalah besar yang serupa berulang.
Paradox juga mengatakan kepada BleepingComputer bahwa informasi yang diekspos adalah interaksi chatbot, seperti mengklik tombol, bahkan jika tidak ada informasi pribadi yang dimasukkan.
UPDATE 7/11/25: Informasi tambahan dari Paradox.
UPDATE 7/12/25: Judul yang Diubah ke Aplikasi untuk mengklarifikasi bahwa ini bukan pelamar yang unik.
8 Ancaman Umum pada tahun 2025
Sementara serangan awan mungkin tumbuh lebih canggih, penyerang masih berhasil dengan teknik yang sangat sederhana.
Menggambar dari deteksi Wiz di ribuan organisasi, laporan ini mengungkapkan 8 teknik utama yang digunakan oleh aktor ancaman fluen cloud.
