Сервис McHire, с помощью которого McDonald’s нанимает сотрудников через чат-бота по имени Оливия, оказался «дырявым». Платформа принадлежит компании Paradox. ai и используется 90% франшиз McDonald’s.
Исследователи обнаружили, что можно войти в административную панель сайта с простыми логином и паролем — «123 456». После этого они получили доступ к системе управления вакансиями и смогли просматривать личные данные соискателей. Ещё одна серьёзная проблема — уязвимость в API, через которую можно было получить доступ к любому профилю кандидата, просто изменяя номер в адресе запроса.
Через эту дыру можно было увидеть имена, адреса, телефоны, email, данные о сменах, которые кандидаты были готовы работать, а также историю переписок и ответы на тесты. Всего были под угрозой данные более 64 миллионов человек, подавших заявки на работу в McDonald’s.
После уведомления компания Paradox. ai быстро отреагировала: закрыла доступ, устранила уязвимости и пообещала провести дополнительные проверки безопасности.
Источник: www.ferra.ru