2025 年，麥當勞 McHire 機器人因使用'123456'作為密碼，泄露了 6400 萬人的個人信息

(圖片來源：Shutterstock)

一對 安全 研究人員 揭露 了麥當勞開發(fā)的 McHire 聊天機器人 Paradox 中的漏洞，這些漏洞可能被利用來泄露大約 6400 萬名使用該服務申請當?shù)胤值旯ぷ鞯娜藛T的個人信息。

我第一次“被黑”時才14歲。我在引號里加上了“黑客”這個詞，因為那個賬戶的密碼是“1234”（當然，不包括引號或句號，這更糟糕。）在我重新獲得賬戶訪問權限后，我開始使用密碼管理器。

這有什么關系呢？因為發(fā)現(xiàn)這些漏洞的研究人員伊恩·卡羅爾和薩姆·庫里能夠猜出“悖論團隊成員”用來訪問 McHire 的密碼：“123456”。我想，這比我以前用的密碼稍微好一點，但不足以證明它在大多數(shù)人意識到使用弱密碼是個壞主意幾十年后還應該使用它。

有好消息：卡羅爾和庫里寫道：“我們發(fā)現(xiàn)我們已成為 McHire 系統(tǒng)中的一個測試餐廳的管理員，” “我們可以看到該餐廳的所有員工都是 Paradox.ai 公司的員工，McHire 背后的公司。這很好，因為我們現(xiàn)在可以看到該應用程序是如何工作的，但很煩人，因為我們?nèi)匀粵]有證明任何實際機密性或完整性影響。”

第二個漏洞就在于此。（或者，如果你是否認為糟糕的密碼是一個真正的漏洞，那么它是第一個。）McHire API 中的不安全直接對象引用（IDOR）缺陷使卡羅爾和庫里能夠訪問“任何曾經(jīng)申請過麥當勞工作的人的每一次聊天交互”中的以下信息：

• 姓名、電子郵件地址、電話號碼、地址

• 候選人狀態(tài)以及候選人提交的每個狀態(tài)變化/表單輸入（他們可以工作的班次等）

• 用于登錄消費者界面的身份驗證令牌，泄露了該用戶的原始聊天記錄和其他信息

卡羅爾和庫雷指出，派拉索之前曾吹噓 90%的麥當勞加盟店都在招聘過程中使用 McHire。（該鏈接仍然指向派拉索博客上適當?shù)哪瞧恼拢嘘P麥當勞的部分已被刪除，而且 Wayback Machine 和谷歌的緩存都沒有保存該文章的舊版本。真奇怪！）

那么讓我們比較和對比一下。我十幾歲的時候用"1234"這個密碼注冊了一個論壇賬號；這個賬號的泄露最終是無意義的。派拉索在 2020 年籌集了 2 億美元，麥當勞的市值達到 2130 億美元，而 McHire 的缺陷暴露了數(shù)百萬人的信息。但至少他們的密碼有兩個字符長！

也許唯一的亮點是卡羅爾和庫里表示，McHire 漏洞在披露后一天內(nèi)得到了解決。希望涉及的公司現(xiàn)在會對自己設定一個 McHigher 標準。