Fuite de données dans McHire, le chatbot de recrutement de McDo

La plateforme de recrutement McHire.com, utilisée par le géant de la restauration rapide McDonald's, a divulgué les informations de plus de 64 millions de candidats, selon des chercheurs en sécurité informatique.

Il s'avère que tous les chatbots ne se valent pas : certains sont moins performants que d'autres, pour employer un euphémisme. Certains candidats se sont déjà plaints de la mauvaise qualité du chatbot Olivia.

Le principe est simple. L'utilisateur accède au site web et discute directement avec le chatbot pour postuler à un emploi. Il devrait ensuite recevoir un appel d'une personne réelle. Lorsque les chercheurs en sécurité Ian Carroll et Sam Curry ont vu les réponses ridicules qu'il donnait, ils ont pensé qu'il serait utile de vérifier son niveau de sécurité.

La sécurité n'était pas au rendez-vous

« Au cours d'un examen sommaire de la sécurité qui a duré quelques heures, nous avons identifié deux problèmes graves : l'interface d'administration McHire destinée aux restaurateurs acceptait les identifiants par défaut 123456:123456, et une référence d'objet directe non sécurisée (IDOR) sur une API interne nous permettait d'accéder à tous les contacts et chats que nous voulions », ont déclaré les chercheurs.

« Ensemble, ces deux éléments nous ont permis, ainsi qu'à toute personne disposant d'un compte McHire et d'un accès à n'importe quelle boîte de réception, de récupérer les données personnelles de plus de 64 millions de candidats. »

Le problème vient du fait que les restaurateurs peuvent se connecter à la plateforme, tout comme les utilisateurs. Sur un coup de tête, les chercheurs ont saisi « 123456 » comme nom d'utilisateur et « 123456 » comme mot de passe. À leur grande surprise, ils ont pu se connecter.

Il s'agissait en fait d'un compte test, mais cela a montré que la sécurité de la plateforme était insuffisante.

Après avoir postulé à des emplois sur la plateforme, ils ont remarqué une demande étrange provenant d'une API.

« Le paramètre principal de cette demande était le lead_id du chat, qui était d'environ 64 185 742 pour notre candidat test. Nous avons essayé de diminuer ce nombre et nous avons immédiatement été confrontés aux informations personnelles identifiables d'un autre candidat chez McDonald's (y compris des coordonnées « non masquées ») ! », ont écrit les chercheurs.

Il s'avère que les informations privées de plus de 64 millions de candidats étaient accessibles à quiconque faisait un petit effort. Cependant, rien n'indique que ces informations aient été consultées par d'autres personnes que les deux chercheurs.

Les informations comprenaient les éléments suivants :

• Nom, adresse e-mail, numéro de téléphone et adresse
• Statut de candidature et chaque changement de statut/formulaire soumis par le candidat (horaires de travail possibles, etc.)
• Jeton d'authentification pour se connecter à l'interface utilisateur en tant que cet utilisateur, divulguant ses messages de chat bruts et vraisemblablement d'autres informations