麦当劳招聘平台安全漏洞致 6400 万份求职申请信息暴露
原文链接: https://mp.weixin.qq.com/s?__biz=Mzg3NTY0MjIwNg==&mid=2247486144&idx=1&sn=a99eaf792c4181813135e0507644c0b6
麦当劳招聘平台安全漏洞致 6400 万份求职申请信息暴露
龙猫 星尘安全 2025-07-11 02:01
点击上方
蓝字
关注我们
01
漏洞细节:弱密码与 API 缺陷双重风险
网络安全研究人员伊恩・卡罗尔(Ian Carroll)和萨姆・库里(Sam Curry)近期披露,麦当劳旗下招聘聊天机器人平台 McHire 存在严重安全漏洞 —— 其管理员后台竟使用 “123456:123456” 的默认弱密码,同时内部 API 存在不安全直接对象引用(IDOR)漏洞。这意味着攻击者可轻易获取 6400 万份求职申请数据,包括申请人姓名、联系方式、地址等敏感信息。
研究人员在对 McHire 进行安全审查时发现,该平台为餐厅老板设置的管理界面竟未修改初始登录凭证。更严重的是,通过 API 接口的 ID 编号规则,攻击者可遍历获取所有申请人的完整资料,甚至包含求职状态变更记录和用户聊天授权令牌。这些信息足以让恶意者冒充求职者登录系统,进一步窃取原始聊天记录。
02
漏洞影响范围与数据类型
根据 API 接口的 ID 编号规律推算,McHire 平台累计处理超过 6400 万份求职申请。潜在泄露的数据包括:
– 个人身份信息:姓名、电子邮箱、电话号码、居住地址
-
求职过程数据:应聘状态变更记录、可工作班次等表单输入内容
-
系统访问权限:用户身份验证令牌,可用于登录消费者界面获取聊天记录
网络安全专家指出,此类漏洞暴露了企业在数字化招聘流程中的安全短板。”默认密码的存在简直不可原谅,这相当于给数据仓库留了一扇未上锁的大门”,资深安全顾问维利乌斯・佩特考斯卡斯(Vilius Petkauskas)评论道。
03
漏洞处置与安全建议
研究团队在发现漏洞后立即向 McHire 技术服务商 Paradox.ai 报告,该公司在 24 小时内完成修复。目前 McHire 已更新管理员认证机制,并对 API 接口增加权限校验。
网络安全社区借此再次强调基础安全实践的重要性:
-
强制使用高强度唯一密码,禁用 “123456” 等默认凭证
-
对 API 接口实施细粒度权限控制,防止 IDOR 漏洞
-
定期开展第三方安全审计,特别是处理敏感数据的系统
-
建立漏洞应急响应机制,确保安全事件快速处置
当 AI 聊天机器人等新技术应用于核心业务流程时,基础安全措施的缺失可能导致灾难性后果。随着招聘流程全面数字化,6400 万份求职数据的泄露不仅影响企业声誉,更可能引发大规模身份盗用风险。
Chrome 商店高人气扩展暗藏间谍软件,超 10 万用户遭遇会话劫持
2025-07-09
2025-06-05
2025-05-27
2025-05-13
喜欢此文的话,可以点赞、转发、在看 一键三连哦!
