McHire de McDonald’s : 64 millions de profils exposés à cause de « 123456 »

Des failles dans le chatbot de recrutement McHire ont exposé les données de plus de 64 millions de candidats.

La plateforme de recrutement McHire de McDonald’s, qui utilise un chatbot nommé Olivia, a récemment été au cœur d’une importante exposition de données. Comme l’a rapporté DarkReading, des chercheurs en sécurité, Ian Carroll et Sam Curry, ont découvert des vulnérabilités majeures dans cette application, conçue par Paradox.ai. Cela a exposé les informations personnelles de plus de 64 millions de candidats. Parmi les failles relevées, l’utilisation de mots de passe par défaut comme « 123456 » a permis un accès non autorisé à des données sensibles, y compris les discussions privées entre le bot et les candidats, ainsi qu’à des informations internes sur le personnel et les entretiens en cours.

Une faille évitable aux conséquences massives : 64 millions de profils exposés

Ces chercheurs ont noté que l’interface d’administration de McHire, destinée aux propriétaires de restaurants, acceptait ces identifiants par défaut, permettant à quiconque possédant un compte McHire d’accéder aux données personnelles de millions de candidats. Comme le précise le rapport publié par les experts, cette situation a permis l’accès à n’importe quel contact et chat voulu, démontrant une faille sérieuse dans la sécurité des API internes. En interagissant avec le chatbot et en explorant la page d’administration, les chercheurs ont pu voir comment le système fonctionnait et ont constaté que les données des employés de Paradox.ai étaient également accessibles. Cela soulève des questions sur la diligence raisonnable des entreprises dans la sélection et le maintien des outils qu’elles adoptent. Les entreprises doivent s’assurer qu’elles appliquent des pratiques de sécurité rigoureuses, y compris des audits réguliers de leurs systèmes de gestion des données.

En analysant une annonce d’emploi test sur le système McHire, ils ont découvert une API cachée qui leur permettait de voir les données de chat en modifiant légèrement un identifiant dans la requête. Cela leur a permis d’accéder à des informations personnelles comme les noms, adresses e-mail, numéros de téléphone et détails d’emploi de véritables candidats McDonald’s. Ce qui est encore plus préoccupant, c’est qu’ils pouvaient accéder à l’historique des discussions et même utiliser des jetons d’authentification pour se faire passer pour des candidats. Cette situation démontre la nécessité d’un contrôle d’accès stricte et d’une surveillance des activités au sein des systèmes qui manipulent des données sensibles. Les entreprises doivent être conscientes des méthodes employées par les hackers et être prêtes à mettre en œuvre des solutions pour prévenir de telles violations à l’avenir.

Offrez un café pour soutenir cette veille indépendante.

☕ Je soutiens DCOD

Sécurité Web pour les développeurs : menaces réelles, défense pratique (édition anglaise)

La sécurité des sites web simplifiée. Ce livre aborde les principales façons dont les sites web sont piratés et comment les développeurs web peuvent s’en protéger.

📘 Voir sur Amazon

🛒 Le lien ci-dessus est affilié : en commandant via ce lien, vous soutenez la veille DCOD sans frais supplémentaires 🙏

De la réaction à la prévention : quelles leçons pour la cybersécurité des entreprises ?

Face à l’ampleur de la situation, les chercheurs ont tenté d’alerter Paradox.ai, qui a rapidement corrigé le problème en environ 2 heures et annoncé des améliorations en matière de sécurité. La divulgation a été rapide, avec Paradox.ai confirmant la résolution des problèmes peu après leur notification. Comme indiqué par SecurityAffairs, cela illustre l’importance de ne pas utiliser de mots de passe par défaut, un conseil souvent répété mais encore négligé dans certains cas. La capacité de Paradox.ai à répondre rapidement souligne la nécessité d’avoir une équipe de sécurité prête à agir dès qu’une menace est détectée. La gestion des incidents de sécurité doit être une priorité pour les entreprises, afin de prévenir des dommages potentiels aux données et à la réputation.

Comme l’a également confirmé PYMNTS, cette brèche n’était pas due à un logiciel malveillant sophistiqué ou à une faille zero-day, mais à une simple négligence en matière de sécurité. La facilité avec laquelle les attaquants ont pu accéder au système souligne un problème persistant dans le domaine de la cybersécurité : la persistance des mauvaises pratiques comme l’utilisation de mots de passe par défaut et l’absence d’authentification multifactorielle (MFA). Cela montre également comment l’intégration rapide et non surveillée d’outils tiers peut créer des failles de sécurité significatives. Les entreprises doivent investir dans des formations régulières pour sensibiliser leurs employés aux pratiques de cybersécurité, car souvent, la faiblesse d’un système de sécurité se trouve au niveau humain, où la négligence peut entraîner des conséquences désastreuses.

Pour conclure, la situation de McHire met en évidence la nécessité d’une vigilance constante et d’une mise en œuvre rigoureuse des mesures de sécurité au sein des systèmes d’information. Les entreprises doivent non seulement se concentrer sur la sécurité technique mais également sur la formation de leurs employés et la sensibilisation aux risques liés à la cybersécurité.

Il est essentiel de tirer des leçons de cette expérience pour éviter que de telles violations ne se reproduisent à l’avenir. En fin de compte, la sécurité des données est une responsabilité collective qui nécessite l’engagement de tous, des développeurs aux utilisateurs finaux. Cette prise de conscience peut faire une différence significative dans la protection des données personnelles sensibles des candidats, en particulier dans des systèmes aussi largement utilisés.