Voedselgigant gehackt vanwege wachtwoordvereenvoudiging! Lijst van 64 miljoen mensen gelekt

De wereldberoemde fastfoodketen McDonald's staat in het nieuws vanwege een van de grootste digitale beveiligingsschandalen tot nu toe. Er werd onthuld dat de managementpanels van McDonald's via het wervingssysteem McHire alleen toegankelijk waren met een eenvoudig wachtwoord zoals "123456". Door de kwetsbaarheid werden de persoonsgegevens van meer dan 64 miljoen sollicitanten wereldwijd blootgelegd.

ERNSTIGE KWETSBAARHEID IN HET MCHIRE-SYSTEEM

McHire, gebruikt door 90% van de McDonald's-franchisenemers, is een systeem ontwikkeld door Paradox.ai dat sollicitaties verzamelt via een AI-gestuurde assistent genaamd Olivia. Het platform registreert de contactgegevens, dienstvoorkeuren en reacties van gebruikers op persoonlijkheidstests.

Onderzoekers meldden dat ze na slechts een paar pogingen toegang hadden tot het admin-paneel van het systeem. Ze ontdekten dat het invoeren van een veelgebruikte combinatie zoals "123456" in de velden voor gebruikersnaam en wachtwoord rechtstreeks toegang gaf tot het paneel via de link "Paradox-teamleden" .

HET WACHTWOORD WAS NIET HET ENIGE PROBLEEM: ER WAS GEEN IDENTITEITSVERIFICATIE

De echte beveiligingskwetsbaarheid zat echter verborgen in een API die draaide op de backend van het "lead_id" -systeem. Deze API, die door ontwikkelaars werd gebruikt bij hun interne tests, stelde gebruikersgegevens bloot zonder authenticatiemechanisme. Deze kwetsbaarheid maakte het mogelijk voor gebruikers die zich eerder bij McDonald's hadden aangemeld om:

Naam, achternaam, telefoonnummer, e-mailadres, adres

Informatie over het aanvraagproces en antwoorden op persoonlijkheidstests

Gebruikerspecifieke verificatietokens

Chatgeschiedenis en alle berichten in het systeem

Gegevens zoals toegankelijk waren.

EEN GROOT LEKKAGE VAN 64 MILJOEN MENSEN

Volgens onderzoekers had deze kwetsbaarheid invloed op meer dan 64 miljoen McDonald's-apps wereldwijd. De gelekte data was naar verluidt groot genoeg om gebruikers namens hen toegang tot het systeem te geven.

PARADOX.AI: OPEN GESLOTEN, ONDERZOEK GESTART

Onderzoekers die de situatie opmerkten, probeerden contact op te nemen met Paradox.ai. De officiële beveiligingspagina van het bedrijf bood echter geen open meldkanalen. Het team nam contact op met willekeurige e-mailadressen om het incident te melden. Toen ze eindelijk de juiste mensen bereikten, ondernamen medewerkers van Paradox.ai actie en kondigden aan dat de kwetsbaarheid was gepatcht en dat ze een uitgebreide evaluatie van het systeem zouden starten.