Un par de investigadores de seguridad han revelado vulnerabilidades en la paradoja de McHire Chatbot, desarrollada para McDonald’s, que podría haberse explotado para revelar información personal sobre aproximadamente 64 millones de personas que han utilizado el servicio para solicitar empleos en sus franquicias locales. (TiP de sombrero Cableado.)
Fui “pirateado” la primera vez cuando tenía 14 años. Lo puse en citas de miedo porque la contraseña de la cuenta era “1234”. (Sin las cotizaciones o el período, por supuesto, lo que lo empeora aún.) Después de recuperar el acceso a la cuenta, comencé a usar un administrador de contraseñas.
¿Por qué es eso relevante? Debido a que los investigadores que encontraron estas vulnerabilidades, Ian Carroll y Sam Curry, pudieron adivinar la contraseña utilizada por los “miembros del equipo de paradoja” para acceder a McHire: “123456”. Supongo que eso es un poco mejor que la contraseña que usé, pero no lo suficiente como para justificar su uso décadas después de que la mayoría de la gente se dio cuenta de que usar contraseñas débiles es una mala idea.
Hay algunas buenas noticias: “Resultó que nos habíamos convertido en el administrador de un restaurante de prueba dentro del sistema McHire”, escribieron Carroll y Curry. “Podíamos ver que todos los empleados del restaurante eran simplemente empleados de Paradox.ai, la compañía detrás de McHire. Esto fue genial porque ahora podíamos ver cómo funcionaba la aplicación, pero molesto porque todavía no habíamos demostrado ninguna confidencialidad real o impacto de integridad”.
Ahí es donde entra la segunda vulnerabilidad. [from anyone who] alguna vez solicitó un trabajo en McDonald’s “:
- Nombre, dirección de correo electrónico, número de teléfono, dirección
- Estado de candidatura y cada cambio de cambio de estado que el candidato había presentado (turnos que podían trabajar, etc.)
- Auth token para iniciar sesión en la interfaz de usuario del consumidor como ese usuario, filtrando sus mensajes de chat en bruto y presumiblemente otra información
Carroll y Curry señalaron que Paradox se había jactado previamente de que el 90% de las franquicias de McDonald’s estaban usando McHire como parte de sus prácticas de contratación. (Ese enlace aún conduce a la publicación apropiada en el blog de Paradox, pero la sección relacionada con McDonald’s se ha eliminado, y ni la máquina Wayback ni el caché de Google han guardado versiones antiguas de la publicación. ¡Extraño!)
Así que comparemos y contrastemos. Aseguré una cuenta del foro con la contraseña “1234” cuando era adolescente; El compromiso de esa cuenta no tenía sentido. Paradox recaudó $ 200 millones en 2020, McDonald’s tiene una capitalización de mercado de $ 213 mil millones, y los defectos de McHire expuso información sobre decenas de millones de personas. ¡Pero al menos su contraseña era dos caracteres más largos!
Quizás el único lado positivo es que Carroll y Curry dijeron que las vulnerabilidades de McHire se abordaron un día después de su divulgación. Esperemos que las empresas involucradas se mantengan con un estándar mCHIGHER ahora.
