【暴】麦当劳招聘平台 | 安全漏洞致 6400 万份求职申请信息暴露
原文链接: https://mp.weixin.qq.com/s?__biz=Mzg2MDg0ODg1NQ==&mid=2247547158&idx=1&sn=3cf79ed603597648e4ebc012f1dd387d
【暴】麦当劳招聘平台 | 安全漏洞致 6400 万份求职申请信息暴露
龙猫 安小圈 2025-07-12 00:45
安小圈
第707期
01
漏洞细节:弱密码与 API 缺陷双重风险
网络安全研究人员伊恩・卡罗尔(Ian Carroll)和萨姆・库里(Sam Curry)近期披露,麦当劳旗下招聘聊天机器人平台 McHire 存在严重安全漏洞 —— 其管理员后台竟使用 “123456:123456” 的默认弱密码,同时内部 API 存在不安全直接对象引用(IDOR)漏洞。这意味着攻击者可轻易获取 6400 万份求职申请数据,包括申请人姓名、联系方式、地址等敏感信息。
研究人员在对 McHire 进行安全审查时发现,该平台为餐厅老板设置的管理界面竟未修改初始登录凭证。更严重的是,通过 API 接口的 ID 编号规则,攻击者可遍历获取所有申请人的完整资料,甚至包含求职状态变更记录和用户聊天授权令牌。这些信息足以让恶意者冒充求职者登录系统,进一步窃取原始聊天记录。
02
漏洞影响范围与数据类型
根据 API 接口的 ID 编号规律推算,McHire 平台累计处理超过 6400 万份求职申请。潜在泄露的数据包括:
– 个人身份信息:姓名、电子邮箱、电话号码、居住地址
-
求职过程数据:应聘状态变更记录、可工作班次等表单输入内容
-
系统访问权限:用户身份验证令牌,可用于登录消费者界面获取聊天记录
网络安全专家指出,此类漏洞暴露了企业在数字化招聘流程中的安全短板。”默认密码的存在简直不可原谅,这相当于给数据仓库留了一扇未上锁的大门”,资深安全顾问维利乌斯・佩特考斯卡斯(Vilius Petkauskas)评论道。
03
漏洞处置与安全建议
研究团队在发现漏洞后立即向 McHire 技术服务商 Paradox.ai 报告,该公司在 24 小时内完成修复。目前 McHire 已更新管理员认证机制,并对 API 接口增加权限校验。
网络安全社区借此再次强调基础安全实践的重要性:
-
强制使用高强度唯一密码,禁用 “123456” 等默认凭证
-
对 API 接口实施细粒度权限控制,防止 IDOR 漏洞
-
定期开展第三方安全审计,特别是处理敏感数据的系统
-
建立漏洞应急响应机制,确保安全事件快速处置
当 AI 聊天机器人等新技术应用于核心业务流程时,基础安全措施的缺失可能导致灾难性后果。随着招聘流程全面数字化,6400 万份求职数据的泄露不仅影响企业声誉,更可能引发大规模身份盗用风险。
END
【以上内容
来源于:星尘安全】
微软紧急修复高危蠕虫级RCE漏洞,威胁全网Windows系统
– 2025年“净网”“护网”专项工作部署会在京召开,看看都说了哪些与你我相关的关键内容?
-
护网即将来临,这场网安盛会带给了我们打工人什么……
– 突发!数万台 Windows 蓝屏。。。。广联达。。。惹的祸。。。
-
权威解答 | 国家网信办就:【数据出境】安全管理相关问题进行答复
– # 全国首位!上海通过数据出境安全评估91个,合同备案443个
– # 沈传宁:落实《网络数据安全管理条例》,提升全员数据安全意识
– 【高危漏洞】Windows 11:300毫秒即可提权至管理员
-
网络安全【重保】| 实战指南:企业如何应对国家级护网行动?
– 虚拟机逃逸!VMware【高危漏洞】正被积极利用,国内公网暴露面最大****
*- *用Deepseek实现Web渗透自动化
– 【风险】DeepSeek等大模型私有化服务器部署近九成在“裸奔”,已知漏洞赶紧处理!
*- *关于各大网安厂商推广「DeepSeek一体机」现象的深度分析
– AI 安全 |《人工智能安全标准体系(V1.0)》(征求意见稿),附下载
– 2025年 · 网络威胁趋势【预测】
– 【实操】常见的安全事件及应急响应处
– 2024 网络安全人才实战能力白皮书安全测试评估篇
