Kelemahan keselamatan utama dalam sistem permohonan kerja McDonald's telah mendedahkan maklumat peribadi lebih 64 juta pencari kerja. Pencerobohan ini berlaku melalui McHire , platform pengambilan pekerja chatbot yang digunakan oleh 90% francaisi McDonald's di seluruh dunia, yang dibangunkan oleh Paradox.ai .
Penyelidik keselamatan mendapati mereka boleh mengakses antara muka pentadbiran sistem menggunakan kelayakan lalai yang sangat mudah iaitu 123456 untuk kedua-dua nama pengguna dan kata laluan. Ini memberi mereka akses kepada akaun restoran ujian dalam sistem McHire , mendedahkan bagaimana platform beroperasi dari perspektif majikan.
Skala Sistem:
- 64+ juta pemohon kerja terjejas
- Digunakan oleh 90% francaisi McDonald's di seluruh dunia
- McDonald's mengendalikan lebih 38,000 kedai di seluruh dunia
- 13,647 lokasi di Amerika Syarikat sahaja
 |
|---|
| Tangkapan skrin ini menyerlahkan maklumat penting mengenai kebocoran data yang melibatkan sistem permohonan kerja McDonald's, menetapkan latar belakang untuk cerita pelanggaran keselamatan |
Kesederhanaan Pencerobohan Yang Mengejutkan
Kelemahan ini ditemui hampir secara tidak sengaja apabila penyelidik melihat pilihan log masuk untuk ahli pasukan Paradox pada portal pentadbir McHire . Tanpa jangkaan yang tinggi, mereka mencuba kombinasi kata laluan paling asas yang boleh dibayangkan - dan ia berjaya serta-merta.
Tanpa banyak berfikir, kami memasukkan '123456' sebagai nama pengguna dan '123456' sebagai kata laluan dan terkejut melihat kami dapat log masuk dengan segera!
Ini serta-merta memberi mereka akses pentadbir kepada apa yang kelihatan seperti restoran McDonald's ujian, lengkap dengan pekerja palsu yang sebenarnya adalah kakitangan Paradox.ai . Walaupun ini membimbangkan, kerosakan sebenar datang daripada apa yang mereka temui seterusnya.
Garis Masa Pelanggaran:
- 30 Jun 2025 5:46PM ET: Pendedahan awal kepada Paradox.ai dan McDonald's
- 30 Jun 2025 6:24PM ET: McDonald's mengesahkan penerimaan
- 30 Jun 2025 7:31PM ET: Kelayakan lalai dilumpuhkan
- 1 Julai 2025 10:18PM ET: Paradox.ai mengesahkan penyelesaian penuh
Pendedahan Data Besar-besaran Melalui Reka Bentuk Keselamatan Yang Lemah
Setelah berada dalam sistem, penyelidik menemui titik akhir API yang membolehkan mereka mengambil maklumat calon menggunakan ID berangka yang mudah. Dengan hanya menukar nombor ID dalam permintaan mereka, mereka boleh mengakses profil lengkap mana-mana pemohon kerja daripada keseluruhan pangkalan data McHire .
Maklumat yang terdedah adalah luas dan sangat peribadi. Setiap rekod mengandungi nama penuh, alamat e-mel, nombor telefon, alamat rumah, keutamaan ketersediaan kerja, dan sejarah sembang lengkap dengan chatbot Olivia . Yang paling membimbangkan, sistem juga menyediakan token pengesahan yang boleh digunakan untuk menyamar sebagai pemohon dan mengakses akaun mereka secara langsung.
Nombor ID utama mencapai julat 64 juta, menunjukkan skala besar data yang berpotensi terjejas. Ini mewakili bukan sahaja pemohon semasa, tetapi kemungkinan tahun-tahun data permohonan kerja terkumpul dari lokasi McDonald's di seluruh dunia.
Jenis Data yang Terdedah:
- Nama penuh, alamat e-mel, nombor telefon
- Alamat rumah dan keutamaan ketersediaan kerja
- Sejarah sembang lengkap dengan chatbot pengambilan pekerja
- Token pengesahan untuk penyamaran akaun
- Keputusan ujian personaliti dan status permohonan
 |
|---|
| Antara muka pentadbiran pengguna platform McHire mendedahkan struktur di mana maklumat sensitif calon boleh diakses, menonjolkan kelemahan keselamatan yang teruk |
Realiti Yang Mengganggu Pengambilan Pekerja Makanan Segera
Selain isu keselamatan, pencerobohan ini telah mencetuskan perbincangan sengit tentang amalan pengambilan pekerja McDonald's , terutamanya keperluan ujian personaliti mereka. Sistem memaksa pemohon melalui ujian yang bertanya sama ada frasa seperti menikmati kerja lebih masa menggambarkan mereka, dengan jawapan yang jelas diutamakan yang memihak kepada majikan.
Ahli komuniti telah berkongsi pengalaman mereka sendiri yang mengecewakan dengan sistem serupa di seluruh industri runcit dan perkhidmatan makanan. Ramai yang menggambarkan ujian ini sebagai latihan untuk mengetahui cara berbohong dengan meyakinkan daripada penilaian personaliti tulen. Ujian ini kelihatan direka untuk mengenal pasti pekerja yang akan patuh dan menerima keadaan kerja yang buruk tanpa aduan.
Ada yang berpendapat bahawa saringan personaliti ini berfungsi sebagai penapis untuk keputusasaan - mengenal pasti pemohon yang sanggup mengatakan apa sahaja yang majikan mahu dengar, tanpa mengira kejujuran. Ini mewujudkan proses pengambilan pekerja yang mungkin sebenarnya memilih orang yang sanggup tidak jujur jika ia memenuhi kepentingan mereka.
Tindak Balas Pantas Selepas Pendedahan Awam
Penyelidik menghadapi cabaran besar dalam melaporkan penemuan mereka, kerana Paradox.ai tidak mempunyai maklumat hubungan keselamatan yang tersedia secara umum. Halaman keselamatan mereka pada asalnya hanya menyatakan bahawa pengguna tidak perlu bimbang tentang keselamatan - kenyataan yang terbukti ironik.
Selepas penyelidik berjaya menghubungi kenalan yang sesuai melalui pelbagai saluran, kedua-dua Paradox.ai dan McDonald's bertindak balas dengan pantas. Kelayakan lalai telah dilumpuhkan dalam beberapa jam, dan syarikat mengesahkan semua isu telah diselesaikan dalam kira-kira 30 jam selepas laporan awal.
Walaupun tindak balas pantas itu patut dipuji, insiden ini menimbulkan persoalan serius tentang bagaimana kegagalan keselamatan asas sedemikian boleh wujud dalam sistem yang mengendalikan maklumat peribadi berjuta-juta orang. Penggunaan kata laluan lalai dalam sistem pengeluaran mewakili kegagalan asas amalan keselamatan yang tidak sepatutnya berlaku dalam pembangunan perisian moden.
Pencerobohan ini berfungsi sebagai peringatan keras bahawa walaupun kesilapan keselamatan yang paling asas boleh mempunyai akibat besar apabila ia berlaku dalam sistem yang mengendalikan data peribadi sensitif pada skala besar.
Rujukan: Would you like an IDOR with that? Leaking 64 million McDonald's job applications