Investigadores de cibersegurança descobriram uma vulnerabilidade crítica na McHire, a plataforma de recrutamento do McDonald's, que expôs as informações pessoais de mais de 64 milhões de candidatos a emprego nos Estados Unidos. A falha, de uma simplicidade alarmante, permitia o acesso a dados sensíveis através de credenciais de acesso rudimentares.
A plataforma, desenvolvida pela Paradox.ai e utilizada por cerca de 90% das lojas franchisadas do McDonald's, recorre a um chatbot chamado Olivia para gerir as candidaturas. Através deste sistema, os candidatos submetem nomes, endereços de e-mail, números de telemóvel, moradas e disponibilidade, além de completarem um teste de personalidade.
Uma falha de segurança inacreditavelmente simples
A descoberta foi feita pelos investigadores de segurança Ian Carroll e Sam Curry. A dupla descobriu que o painel de administração do chatbot utilizava uma franquia de teste protegida por credenciais extremamente fracas: o nome de utilizador "123456" e a palavra-passe "123456".
Uma vez com acesso ao sistema, os investigadores submeteram uma candidatura de teste para compreender o funcionamento do processo. Foi aí que se depararam com a segunda e mais grave vulnerabilidade.
Como era possível aceder aos dados de qualquer candidato?
Durante os testes, a equipa notou que os pedidos HTTP eram enviados para um ponto de acesso da API (/api/lead/cem-xhr) que utilizava um parâmetro chamado lead_id. No caso deles, o número era 64.185.742, o que lhes deu uma pista sobre o número total de candidatos.
Os investigadores descobriram que, ao incrementar ou decrementar o valor do lead_id, conseguiam aceder às transcrições completas do chat, tokens de sessão e todos os dados pessoais de candidatos reais que se tinham inscrito na plataforma. Este tipo de falha é conhecido como IDOR (Insecure Direct Object Reference), e ocorre quando uma aplicação expõe identificadores de objetos internos, como números de registo, sem verificar se o utilizador está de facto autorizado a aceder a esses dados.
Numa publicação que detalha a falha, Carroll explicou: "Juntas, [as duas falhas] permitiram-nos a nós e a qualquer outra pessoa com uma conta McHire e acesso a qualquer caixa de entrada recuperar os dados pessoais de mais de 64 milhões de candidatos."
Resposta rápida, mas a falha fica para a história
O problema foi reportado à Paradox.ai e ao McDonald's no dia 30 de junho. O McDonald's acusou a receção do relatório em menos de uma hora e as credenciais de administrador padrão foram desativadas pouco tempo depois.
"Estamos desapontados com esta vulnerabilidade inaceitável de um fornecedor terceiro, a Paradox.ai. Assim que tomámos conhecimento do problema, ordenámos à Paradox.ai que o resolvesse imediatamente, e foi resolvido no mesmo dia em que nos foi comunicado", afirmou o McDonald's em comunicado à Wired.
A Paradox implementou uma correção para resolver a falha IDOR e confirmou que a vulnerabilidade foi mitigada. A empresa afirmou ainda que está a realizar uma revisão completa dos seus sistemas para evitar que problemas semelhantes voltem a ocorrer no futuro.
Nenhum comentário
Seja o primeiro!