الصفحات
بحث
ثغرة في شات الوظائف بمكدونالدز تكشف محادثات 64 مليون طلب توظيف
جوجل #مكدونالدز #الأمن_السيبراني

ثغرة في شات الوظائف بمكدونالدز تكشف محادثات 64 مليون طلب توظيف

تاريخ النشر: آخر تحديث: 57 مشاهدة 0 تعليق 3 دقائق قراءة
مروان المسلماني
مروان المسلماني رئيس التحرير والمؤسس
57 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

اكتشف الباحثون في الأمن السيبراني ثغرة في منصة شات الوظائف McHire التابعة لمكدونالدز، والتي كشفت محادثات أكثر من 64 مليون طلب توظيف في الولايات المتحدة.

McDonald
McDonald

تم اكتشاف هذه الثغرة من قبل الباحثين إيان كارول وسام كاري، الذين وجدوا أن لوحة إدارة الشات كانت تستخدم بيانات اعتماد ضعيفة لتسجيل الدخول باسم "123456" وكلمة مرور "123456".

تستخدم منصة McHire، المدعومة من Paradox.ai، والتي تستخدمها حوالي 90% من أصحاب امتياز مكدونالدز، شات بوت يُدعى أوليفيا لقبول طلبات التوظيف. يمكن للمتقدمين تقديم الأسماء، وعناوين البريد الإلكتروني، وأرقام الهواتف، وعناوين المنازل، وتوافرهم، ويتعين عليهم إكمال اختبار شخصية كجزء من عملية التوظيف.

بعد تسجيل الدخول، قام الباحثون بتقديم طلب توظيف لرؤية كيفية عمل العملية.

خلال هذا الاختبار، لاحظوا أن طلبات HTTP كانت تُرسل إلى نقطة نهاية API عند /api/lead/cem-xhr، والتي استخدمت معلمة lead_id، والتي كانت في حالتهم 64,185,742.

وجد الباحثون أنه من خلال زيادة أو تقليل معلمة lead_id، تمكنوا من كشف النصوص الكاملة للمحادثات، ورموز الجلسة، والبيانات الشخصية للمتقدمين الحقيقيين الذين قدموا طلبات على McHire.

تُعرف هذه النوعية من الثغرات باسم ثغرة IDOR (إشارة كائن غير آمنة مباشرة)، وهي عندما تكشف التطبيقات عن معرفات كائنات داخلية، مثل أرقام السجلات، دون التحقق مما إذا كان المستخدم مخولاً فعلاً للوصول إلى البيانات.

"خلال مراجعة أمنية سريعة لبضع ساعات، حددنا مشكلتين خطيرتين: واجهة إدارة McHire لأصحاب المطاعم كانت تقبل بيانات الاعتماد الافتراضية 123456:123456، وإشارة كائن غير آمنة (IDOR) على API داخلي سمحت لنا بالوصول إلى أي جهات اتصال ومحادثات أردناها،" أوضح كارول في تقرير عن الثغرة.

"معًا سمحت لنا ولأي شخص آخر لديه حساب McHire والوصول إلى أي صندوق بريد باسترجاع البيانات الشخصية لأكثر من 64 مليون متقدم."

في هذه الحالة، كان زيادة أو تقليل رقم lead_id في طلب ما يعيد بيانات حساسة تعود لمتقدمين آخرين، حيث فشل API في التحقق مما إذا كان المستخدم لديه حق الوصول إلى البيانات.

Exploiting the IDOR bug to see McDonald
Exploiting the IDOR bug to see McDonald

تم الإبلاغ عن المشكلة إلى Paradox.ai ومكدونالدز في 30 يونيو.

اعترفت مكدونالدز بالتقرير في غضون ساعة، وتم تعطيل بيانات الاعتماد الافتراضية للإدارة بعد ذلك بوقت قصير.

"نحن محبطون من هذه الثغرة غير المقبولة من مزود طرف ثالث، Paradox.ai. بمجرد أن علمنا بالمشكلة، فرضنا على Paradox.ai معالجة المشكلة على الفور، وتم حلها في نفس اليوم الذي تم الإبلاغ عنه،" قالت مكدونالدز لـ Wired في بيان حول البحث.

نشر Paradox تصحيحًا لمعالجة ثغرة IDOR وأكد أن الثغرة قد تم التخفيف منها. أكدت Paradox.ai أنها تجري مراجعة لأنظمتها لمنع تكرار مشكلات كبيرة مماثلة.

كما أخبرت Paradox BleepingComputer أن المعلومات التي تم كشفها ستشمل أي تفاعل مع الشات بوت، مثل النقر على زر، حتى لو لم يتم إدخال أي معلومات شخصية.

تحديث 7/11/25: تمت إضافة معلومات من Paradox.
تحديث 7/12/25: تم تغيير العنوان لتوضيح أن هذه ليست طلبات فريدة.

الخلاصة

تظهر هذه الحادثة أهمية تأمين الأنظمة الرقمية، خاصةً عندما تتعامل مع بيانات حساسة مثل معلومات المتقدمين للوظائف.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##مكدونالدز ##الأمن_السيبراني ##ثغرة_IDOR

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!