📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie o projeto e divulgue suas redes! Clique aqui
Os pesquisadores de segurança cibernética descobriram uma vulnerabilidade em McHire, a plataforma de aplicação de emprego de McDonald's Chatbot, que expôs as informações pessoais de mais de 64 milhões de candidatos a emprego nos Estados Unidos.
A falha foi descoberta pelos pesquisadores de segurança Ian Carroll e Sam Curry, que descobriram que o painel de administração do chatbot utilizava uma franquia de teste que era protegida por credenciais fracas de um nome de login "123456" e uma senha de "123456".
McHire, alimentado pelo Paradox.ai e usado por cerca de 90% dos franqueados do McDonald's, aceita pedidos de emprego através de um chatbot chamado Olivia. Os candidatos podem enviar nomes, endereços de email, números de telefone, endereços residenciais e disponibilidade e precisam concluir um teste de personalidade como parte do processo de solicitação de emprego.
Depois de conectar, os pesquisadores enviaram um pedido de emprego à franquia de teste para ver como o processo funcionou.
Durante esse teste, eles notaram que as solicitações HTTP foram enviadas para um endpoint da API em/API/Lead/CEM-XHR, que usou um parâmetro lead_id, que no caso era de 64.185.742.
Os pesquisadores descobriram que, incrementando e diminuindo o parâmetro Lead_ID, eles foram capazes de expor as transcrições completas de bate -papo, tokens de sessão e dados pessoais de candidatos a emprego reais que se aplicaram anteriormente ao MCHIRE.
Esse tipo de falha é chamado de vulnerabilidade IDOR (Insecure Direct Object Reference), que é quando um aplicativo expõe identificadores de objeto interno, como números de registro, sem verificar se o usuário está realmente autorizado a acessar os dados.
"Durante uma revisão de segurança superficial de algumas horas, identificamos dois problemas sérios: a interface da administração de McHire para os proprietários de restaurantes aceitou as credenciais padrão 123456: 123456, e uma referência direta de objetos inseguros (IDOR) em uma API interna nos permitiu acessar quaisquer contatos e bate -papos que desejavam"
"Juntos, eles nos permitiram e qualquer outra pessoa com uma conta da MCHIRE e acesso a qualquer caixa de entrada para recuperar os dados pessoais de mais de 64 milhões de candidatos".
Nesse caso, incrementar ou diminuir um número Lead_id em uma solicitação retornou dados sensíveis pertencentes a outros candidatos, pois a API não conseguiu verificar se o usuário tinha acesso aos dados.
Explorando o bug IDOR para ver os aplicativos de emprego do McDonald's
A questão foi relatada ao Paradox.ai e ao McDonald's em 30 de junho.
O McDonald's reconheceu o relatório dentro de uma hora e as credenciais de administrador padrão foram desativadas logo depois.
"Estamos decepcionados com essa vulnerabilidade inaceitável de um fornecedor de terceiros, Paradox.ai. Assim que soubemos do problema, determinamos o paradox.ai a remediar o problema imediatamente e foi resolvido no mesmo dia em que foi relatado aos EUA", disse o McDonald's à Wired em uma declaração sobre a pesquisa.
O Paradox implantou uma correção para abordar a falha do IDOR e confirmou que a vulnerabilidade foi atenuada. Desde então, a Paradox.ai afirmou que está realizando uma revisão de seus sistemas para impedir que grandes problemas semelhantes se recorrente.
8 ameaças comuns em 2025
Embora os ataques em nuvem possam estar ficando mais sofisticados, os invasores ainda conseguem com técnicas surpreendentemente simples.
Com base nas detecções do Wiz em milhares de organizações, este relatório revela 8 técnicas principais usadas por atores de ameaças de fluentes de nuvem.
Obtenha o relatório
A falha foi descoberta pelos pesquisadores de segurança Ian Carroll e Sam Curry, que descobriram que o painel de administração do chatbot utilizava uma franquia de teste que era protegida por credenciais fracas de um nome de login "123456" e uma senha de "123456".
McHire, alimentado pelo Paradox.ai e usado por cerca de 90% dos franqueados do McDonald's, aceita pedidos de emprego através de um chatbot chamado Olivia. Os candidatos podem enviar nomes, endereços de email, números de telefone, endereços residenciais e disponibilidade e precisam concluir um teste de personalidade como parte do processo de solicitação de emprego.
Depois de conectar, os pesquisadores enviaram um pedido de emprego à franquia de teste para ver como o processo funcionou.
Durante esse teste, eles notaram que as solicitações HTTP foram enviadas para um endpoint da API em/API/Lead/CEM-XHR, que usou um parâmetro lead_id, que no caso era de 64.185.742.
Os pesquisadores descobriram que, incrementando e diminuindo o parâmetro Lead_ID, eles foram capazes de expor as transcrições completas de bate -papo, tokens de sessão e dados pessoais de candidatos a emprego reais que se aplicaram anteriormente ao MCHIRE.
Esse tipo de falha é chamado de vulnerabilidade IDOR (Insecure Direct Object Reference), que é quando um aplicativo expõe identificadores de objeto interno, como números de registro, sem verificar se o usuário está realmente autorizado a acessar os dados.
"Durante uma revisão de segurança superficial de algumas horas, identificamos dois problemas sérios: a interface da administração de McHire para os proprietários de restaurantes aceitou as credenciais padrão 123456: 123456, e uma referência direta de objetos inseguros (IDOR) em uma API interna nos permitiu acessar quaisquer contatos e bate -papos que desejavam"
"Juntos, eles nos permitiram e qualquer outra pessoa com uma conta da MCHIRE e acesso a qualquer caixa de entrada para recuperar os dados pessoais de mais de 64 milhões de candidatos".
Nesse caso, incrementar ou diminuir um número Lead_id em uma solicitação retornou dados sensíveis pertencentes a outros candidatos, pois a API não conseguiu verificar se o usuário tinha acesso aos dados.
Explorando o bug IDOR para ver os aplicativos de emprego do McDonald's
A questão foi relatada ao Paradox.ai e ao McDonald's em 30 de junho.
O McDonald's reconheceu o relatório dentro de uma hora e as credenciais de administrador padrão foram desativadas logo depois.
"Estamos decepcionados com essa vulnerabilidade inaceitável de um fornecedor de terceiros, Paradox.ai. Assim que soubemos do problema, determinamos o paradox.ai a remediar o problema imediatamente e foi resolvido no mesmo dia em que foi relatado aos EUA", disse o McDonald's à Wired em uma declaração sobre a pesquisa.
O Paradox implantou uma correção para abordar a falha do IDOR e confirmou que a vulnerabilidade foi atenuada. Desde então, a Paradox.ai afirmou que está realizando uma revisão de seus sistemas para impedir que grandes problemas semelhantes se recorrente.
8 ameaças comuns em 2025
Embora os ataques em nuvem possam estar ficando mais sofisticados, os invasores ainda conseguem com técnicas surpreendentemente simples.
Com base nas detecções do Wiz em milhares de organizações, este relatório revela 8 técnicas principais usadas por atores de ameaças de fluentes de nuvem.
Obtenha o relatório
#samirnews #samir #news #boletimtec #123456 #informações #expostas #para #64 #milhões #de #candidatos #a #emprego #do #mcdonalds
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário