الأمن السيبراني
#ماكدونالدز
#ثغرة_أمنية
ثغرة في طلبات توظيف ماكدونالدز تكشف محادثات 64 مليون متقدم
اكتشف الباحثون في الأمن السيبراني ثغرة في منصة طلبات التوظيف الخاصة بماكدونالدز، والتي أدت إلى كشف محادثات أكثر من 64 مليون طلب توظيف عبر الولايات المتحدة.
الثغرة تم اكتشافها من قبل الباحثين إيان كارول وسام كاري، الذين وجدوا أن لوحة إدارة ChatBot كانت تستخدم بيانات اعتماد ضعيفة.
تفاصيل الثغرة
استخدم الباحثون اسم تسجيل دخول "123456" وكلمة مرور "123456" للوصول إلى النظام. منصة McHire، التي تديرها Paradox.ai، تستخدمها حوالي 90% من فروع ماكدونالدز.
يمكن للمتقدمين تقديم معلومات شخصية مثل الأسماء، وعناوين البريد الإلكتروني، وأرقام الهواتف، والعناوين المنزلية، بالإضافة إلى اجتياز اختبار شخصية كجزء من عملية التقديم.
بعد الدخول، لاحظ الباحثون أن الطلبات HTTP كانت تُرسل إلى نقطة نهاية API تستخدم معلمة lead_id، مما سمح لهم بالكشف عن نصوص المحادثات الكاملة وبيانات المتقدمين.
تداعيات الثغرة
تُعرف هذه الثغرة باسم IDOR (مرجع كائن مباشر غير آمن)، حيث تكشف التطبيقات عن معرفات كائنات داخلية دون التحقق من صلاحيات الوصول.
أبلغ الباحثون عن المشكلة إلى Paradox.ai وماكدونالدز في 30 يونيو، حيث تم التعرف على المشكلة بسرعة وتم تعطيل بيانات الاعتماد الافتراضية.
الخلاصة
تُظهر هذه الحادثة أهمية الأمان السيبراني في منصات التوظيف، حيث يمكن للثغرات أن تعرض بيانات ملايين المتقدمين للخطر.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!