(圖片來源：Shutterstock)

一對 安全 研究人員 揭露 了麥當勞開發的 McHire 聊天機器人 Paradox 中的漏洞，這些漏洞可能被利用來泄露大約 6400 萬名使用該服務申請當地分店工作的人員的個人信息。

我第一次“被黑”時才14歲。我在引號里加上了“黑客”這個詞，因為那個賬戶的密碼是“1234”（當然，不包括引號或句號，這更糟糕。）在我重新獲得賬戶訪問權限后，我開始使用密碼管理器。

這有什么關系呢？因為發現這些漏洞的研究人員伊恩·卡羅爾和薩姆·庫里能夠猜出“悖論團隊成員”用來訪問 McHire 的密碼：“123456”。我想，這比我以前用的密碼稍微好一點，但不足以證明它在大多數人意識到使用弱密碼是個壞主意幾十年后還應該使用它。

有好消息：卡羅爾和庫里寫道：“我們發現我們已成為 McHire 系統中的一個測試餐廳的管理員，” “我們可以看到該餐廳的所有員工都是 Paradox.ai 公司的員工，McHire 背后的公司。這很好，因為我們現在可以看到該應用程序是如何工作的，但很煩人，因為我們仍然沒有證明任何實際機密性或完整性影響?！?/p>

第二個漏洞就在于此。（或者，如果你是否認為糟糕的密碼是一個真正的漏洞，那么它是第一個。）McHire API 中的不安全直接對象引用（IDOR）缺陷使卡羅爾和庫里能夠訪問“任何曾經申請過麥當勞工作的人的每一次聊天交互”中的以下信息：

• 姓名、電子郵件地址、電話號碼、地址

• 候選人狀態以及候選人提交的每個狀態變化/表單輸入（他們可以工作的班次等）

• 用于登錄消費者界面的身份驗證令牌，泄露了該用戶的原始聊天記錄和其他信息

卡羅爾和庫雷指出，派拉索之前曾吹噓 90%的麥當勞加盟店都在招聘過程中使用 McHire。（該鏈接仍然指向派拉索博客上適當的那篇文章，但有關麥當勞的部分已被刪除，而且 Wayback Machine 和谷歌的緩存都沒有保存該文章的舊版本。真奇怪！）

那么讓我們比較和對比一下。我十幾歲的時候用"1234"這個密碼注冊了一個論壇賬號；這個賬號的泄露最終是無意義的。派拉索在 2020 年籌集了 2 億美元，麥當勞的市值達到 2130 億美元，而 McHire 的缺陷暴露了數百萬人的信息。但至少他們的密碼有兩個字符長！

也許唯一的亮點是卡羅爾和庫里表示，McHire 漏洞在披露后一天內得到了解決。希望涉及的公司現在會對自己設定一個 McHigher 標準。