McHire.com – McDonald's stellt Chatbot ein, Daten von 64 Millionen Bewerbern durchgesickert

Die von Fast-Food-Riese McDonald's genutzte Einstellungsplattform McHire.com hat laut Sicherheitsforschern Informationen über mehr als 64 Millionen Bewerber offengelegt.

Es hat sich herausgestellt, dass nicht alle Chatbots gleich sind – einige sind, gelinde gesagt, weniger gut als andere. Einige Bewerber haben sich bereits darüber beschwert, wie schlecht der Chatbot Olivia seine Arbeit macht.

Die Idee ist einfach. Der Nutzer ruft die Website auf und spricht direkt mit dem Chatbot, um sich auf eine Stelle zu bewerben. Daraufhin sollte ein Anruf von einer realen Person folgen. Als die Sicherheitsforscher Ian Carroll und Sam Curry die lächerlichen Antworten sahen, die der Chatbot gab, dachten sie sich, dass es nicht schaden könnte, die Sicherheit des Systems zu überprüfen.

Man kann mit Fug und Recht sagen, dass die Sicherheit nicht gut war

„Bei einer oberflächlichen Sicherheitsüberprüfung von wenigen Stunden haben wir zwei schwerwiegende Probleme festgestellt: Die McHire-Verwaltungsschnittstelle für Restaurantbesitzer akzeptierte die Standard-Anmeldedaten 123456:123456, und eine unsichere direkte Objektreferenz (IDOR) auf einer internen API ermöglichte uns den Zugriff auf alle gewünschten Kontakte und Chats“, so die Forscher.

„Zusammen ermöglichten sie uns und jedem anderen mit einem McHire-Konto und Zugriff auf einen beliebigen Posteingang, die persönlichen Daten von mehr als 64 Millionen Bewerbern abzurufen.“

Das Problem beginnt damit, dass Restaurantbesitzer sich genau wie Nutzer auf der Plattform anmelden können. Aus einer Laune heraus gaben die Forscher „123456“ als Benutzernamen und „123456“ als Passwort ein. Zu ihrer Überraschung erhielten sie Zugriff.

Dies war eigentlich ein Testkonto, aber es zeigte, dass die Sicherheit der Plattform mangelhaft war.

Nachdem sie sich auf der Plattform auf Stellen beworben hatten, bemerkten sie eine seltsame Anfrage von einer API.

„Der Hauptparameter dieser Anfrage war die lead_id des Chats, die für unseren Testbewerber etwa 64.185.742 betrug. Wir haben versucht, diese Zahl zu verringern, und wurden sofort mit personenbezogenen Daten eines anderen McDonald's-Bewerbers konfrontiert (einschließlich „unmaskierter“ Kontaktdaten)“, schrieben die Forscher.

Es stellte sich heraus, dass private Informationen von mehr als 64 Millionen Bewerbern für jeden mit ein wenig Aufwand zugänglich waren. Es gibt jedoch keine Anzeichen dafür, dass tatsächlich andere Parteien außer den beiden Forschern auf diese Informationen zugegriffen haben.

Die Informationen umfassten Folgendes:

• Name, E-Mail-Adresse, Telefonnummer und Adresse
• Bewerbungsstatus und alle Statusänderungen/Formulareingaben, die der Bewerber eingereicht hatte (mögliche Arbeitsschichten usw.)
• Authentifizierungstoken zum Einloggen in die Verbraucher-Benutzeroberfläche als dieser Benutzer, wodurch dessen unverschlüsselte Chat-Nachrichten und vermutlich auch andere Informationen offengelegt wurden