McDonald's McHire Bot đã phơi bày thông tin cá nhân của 64M người bằng cách sử dụng '123456' làm mật khẩu vào năm 2025

Một nhóm nghiên cứu bảo mật đã phát hiện ra lỗ hổng trong chatbot McHire Paradox của McDonald's, có thể bị khai thác để lộ thông tin cá nhân của khoảng 64 triệu người đã sử dụng dịch vụ này để xin việc tại các cửa hàng. Tôi đã bị hack lần đầu khi 14 tuổi, và tôi dùng dấu ngoặc kép vì mật khẩu của tài khoản là 1234.

Sau khi lấy lại quyền truy cập vào tài khoản, tôi đã bắt đầu sử dụng một trình quản lý mật khẩu. Điều này liên quan vì các nhà nghiên cứu Ian Carroll và Sam Curry đã đoán được mật khẩu mà thành viên nhóm Paradox dùng để truy cập McHire, đó là 123456. Mặc dù có phần tốt hơn mật khẩu tôi đã dùng, nhưng nó vẫn không đủ để biện minh cho việc sử dụng mật khẩu yếu này sau nhiều năm mọi người đã nhận ra rằng đây là một ý tưởng tồi.

Đừng bỏ lỡ những ưu đãi tốt nhất trong Ngày Prime trên Amazon! Các ưu đãi công nghệ và phần cứng PC tốt nhất — bao gồm GPU, CPU, SSD, màn hình và hơn thế nữa. Các ưu đãi ổ cứng 2025 — các ưu đãi HDD từ WD, Seagate và Toshiba vẫn khả dụng. Có tin vui: chúng tôi đã trở thành quản trị viên của một nhà hàng thử nghiệm trong hệ thống McHire, Carroll và Curry viết. Tất cả nhân viên của nhà hàng đều là nhân viên của Paradox.

Công ty đứng sau McHire đã tiết lộ cách hoạt động của ứng dụng, nhưng điều này gây khó chịu vì vẫn chưa chứng minh được tác động thực sự đến bảo mật thông tin. Lỗ hổng thứ hai, hoặc có thể là lỗ hổng đầu tiên nếu tính đến mật khẩu yếu, là một lỗ hổng tham chiếu đối tượng trực tiếp không an toàn (IDOR) trong API của McHire. Điều này cho phép Carroll và Curry truy cập thông tin từ mọi cuộc trò chuyện của những người đã ứng tuyển tại McDonald's, bao gồm tên, địa chỉ email, số điện thoại, địa chỉ, trạng thái ứng tuyển và các thông tin khác. Họ cũng có thể truy cập mã xác thực để đăng nhập vào giao diện người dùng của ứng viên, làm lộ tin nhắn trò chuyện của họ và có thể là thông tin khác. Carroll và Curry lưu ý rằng Paradox từng tự hào rằng 90% các chi nhánh của McDonald's đang sử dụng McHire trong quy trình tuyển dụng.

Liên kết đó vẫn dẫn đến bài viết trên blog Paradox, nhưng phần liên quan đến McDonald's đã bị xóa, và cả Wayback Machine lẫn bộ nhớ cache của Google đều không lưu trữ phiên bản cũ của bài viết. Thật kỳ lạ! Hãy so sánh. Tôi đã tạo tài khoản diễn đàn với mật khẩu 1234 khi còn là thanh thiếu niên, nhưng việc tài khoản bị xâm phạm cuối cùng không có ý nghĩa gì. Paradox đã huy động 200 triệu đô la vào năm 2020, McDonald's có vốn hóa thị trường 213 tỷ đô la, và những lỗ hổng của McHires đã tiết lộ thông tin về hàng chục triệu người.

Ít nhất thì mật khẩu của họ dài hơn hai ký tự! Có lẽ điều tích cực duy nhất là Carroll và Curry cho biết các lỗ hổng của McHire đã được khắc phục một ngày sau khi được công bố. Hy vọng các công ty liên quan sẽ giữ một tiêu chuẩn cao hơn từ giờ.

Nguồn: www.tomshardware.com/tech-industry/cyber-security/mcdonalds-mchire-bot-exposed-personal-information-of-64m-people-by-using-123456-as-a-password-in-2025