McDonald’s, una delle principali catene di fast food famose in tutto il mondo, avrebbe indirettamente messo in serio pericolo oltre 64 milioni di utenti. Si tratta di suoi candidati che negli Stati Uniti hanno rischiato il furto di identità digitale e informazioni sensibili.
La notizia si è diffusa dopo la pubblicazione di una scoperta da parte di due ricercatori di cybersecurity. Iann Carroll e Sam Curry hanno individuato due problemi di sicurezza all’interno di McHire.com, la piattaforma per candidati usata dall’azienda.
Qui, ogni candidato deve registrarsi inserendo nome utente e password. Dopodiché l’utente viene passato a Olivia, un ChatBot di Intelligenza Artificiale che chiede l’invio di dati personali e curriculum. In seguito avvia un test sulla personalità con domande di ogni tipo.
Tutti i dati registrati vengono conservati in chat che, sfortunatamente, potrebbe essere facilmente violata da qualsiasi aggressore informatico. Infatti, Carroll e Curry hanno scoperto che un utente può tranquillamente registrarsi non solo usando password pericolose, quindi facilmente individuabili, ma addirittura inserendo nome utente e password identici.
McDonald’s: le due falle di sicurezza nella piattaforma per candidati
La piattaforma che usa McDonald’s per i candidati aveva due falle di sicurezza. I ricercatori hanno spiegato: “Durante una rapida verifica della sicurezza durata poche ore, abbiamo individuato due gravi problemi: l’interfaccia di amministrazione di McHire per i ristoratori accettava le credenziali predefinite 123456:123456 e un IDOR (Direct Object Reference) non sicuro su un’API interna ci consentiva di accedere a tutti i contatti e le chat desiderati. Insieme, queste due soluzioni hanno permesso a noi e a chiunque altro avesse un account McHire e avesse accesso a qualsiasi casella di posta di recuperare i dati personali di oltre 64 milioni di candidati“.
La cosa singolare è che Carroll e Curry hanno anche dichiarato: “Senza pensarci troppo, abbiamo inserito “123456” come nome utente e “123456” come password e siamo rimasti sorpresi nel vedere che avevamo effettuato immediatamente l’accesso!“.
Come dichiarato dai due ricercatori, le falle di sicurezza nella piattaforma di McDonald’s per i candidati sono state risolte da Paradox.ai, azienda che ha creato la piattaforma.
