2025 年，麥當(dāng)勞 McHire 機(jī)器人因使用'123456'作為密碼，泄露了 6400 萬人的個(gè)人信息

(圖片來源：Shutterstock)

一對(duì) 安全 研究人員 揭露 了麥當(dāng)勞開發(fā)的 McHire 聊天機(jī)器人 Paradox 中的漏洞，這些漏洞可能被利用來泄露大約 6400 萬名使用該服務(wù)申請(qǐng)當(dāng)?shù)胤值旯ぷ鞯娜藛T的個(gè)人信息。

我第一次“被黑”時(shí)才14歲。我在引號(hào)里加上了“黑客”這個(gè)詞，因?yàn)槟莻€(gè)賬戶的密碼是“1234”（當(dāng)然，不包括引號(hào)或句號(hào)，這更糟糕。）在我重新獲得賬戶訪問權(quán)限后，我開始使用密碼管理器。

這有什么關(guān)系呢？因?yàn)榘l(fā)現(xiàn)這些漏洞的研究人員伊恩·卡羅爾和薩姆·庫里能夠猜出“悖論團(tuán)隊(duì)成員”用來訪問 McHire 的密碼：“123456”。我想，這比我以前用的密碼稍微好一點(diǎn)，但不足以證明它在大多數(shù)人意識(shí)到使用弱密碼是個(gè)壞主意幾十年后還應(yīng)該使用它。

有好消息：卡羅爾和庫里寫道：“我們發(fā)現(xiàn)我們已成為 McHire 系統(tǒng)中的一個(gè)測(cè)試餐廳的管理員，” “我們可以看到該餐廳的所有員工都是 Paradox.ai 公司的員工，McHire 背后的公司。這很好，因?yàn)槲覀儸F(xiàn)在可以看到該應(yīng)用程序是如何工作的，但很煩人，因?yàn)槲覀內(nèi)匀粵]有證明任何實(shí)際機(jī)密性或完整性影響?！?/p>

第二個(gè)漏洞就在于此。（或者，如果你是否認(rèn)為糟糕的密碼是一個(gè)真正的漏洞，那么它是第一個(gè)。）McHire API 中的不安全直接對(duì)象引用（IDOR）缺陷使卡羅爾和庫里能夠訪問“任何曾經(jīng)申請(qǐng)過麥當(dāng)勞工作的人的每一次聊天交互”中的以下信息：

• 姓名、電子郵件地址、電話號(hào)碼、地址

• 候選人狀態(tài)以及候選人提交的每個(gè)狀態(tài)變化/表單輸入（他們可以工作的班次等）

• 用于登錄消費(fèi)者界面的身份驗(yàn)證令牌，泄露了該用戶的原始聊天記錄和其他信息

卡羅爾和庫雷指出，派拉索之前曾吹噓 90%的麥當(dāng)勞加盟店都在招聘過程中使用 McHire。（該鏈接仍然指向派拉索博客上適當(dāng)?shù)哪瞧恼?，但有關(guān)麥當(dāng)勞的部分已被刪除，而且 Wayback Machine 和谷歌的緩存都沒有保存該文章的舊版本。真奇怪！）

那么讓我們比較和對(duì)比一下。我十幾歲的時(shí)候用"1234"這個(gè)密碼注冊(cè)了一個(gè)論壇賬號(hào)；這個(gè)賬號(hào)的泄露最終是無意義的。派拉索在 2020 年籌集了 2 億美元，麥當(dāng)勞的市值達(dá)到 2130 億美元，而 McHire 的缺陷暴露了數(shù)百萬人的信息。但至少他們的密碼有兩個(gè)字符長(zhǎng)！

也許唯一的亮點(diǎn)是卡羅爾和庫里表示，McHire 漏洞在披露后一天內(nèi)得到了解決。希望涉及的公司現(xiàn)在會(huì)對(duì)自己設(shè)定一個(gè) McHigher 標(biāo)準(zhǔn)。