Минутка кибербезопасности: McDonald’s хранил данные 64 млн человек за паролем «123456»

Мегакорпорация выбрала один из самых нелепых паролей для админки чат-бота McHire, которым пользовались порядка 90 % франчайзи McDonald’s для приёма резюме и проведения удалённых собеседований.

Специалисты по кибербезопасности Иэн Кэррол и Сэм Карри обнаружили дыру случайно, введя логин и пароль в качестве шутки, после чего немедленно попали в тестовую админку.

Как выяснилось позже, API сайта тоже не был защищён, и получить доступ к предыдущему чату можно было просто поменяв ID беседы в коде сайта. Что? Да!

Потенциальный злоумышленник мог получить обширный контроль над базой данных, включая незашифрованные имена, адреса и номера телефонов соискателей, их истории переписок с чат-ботом и даже тесты личности, составленные ИИ.

Кэррол и Карри немедленно написали в поддержку McDonald’s и ParadoxAI — разработчиков ИИ McHire. Компаниям потребовалось два часа, чтобы поменять пароль, и ещё сутки, чтобы официально закрыть тикет поддержки.