Исследователи проблем кибербезопасности Иэн Кэрролл и Сэм Карри обнаружили существенные проблемы сервиса McHire. Он используется почти 90% ресторанов франшизы McDonald’s для найма сотрудников. Первичный отбор кандидатов осуществляет чат-бот Olivia. От кандидатов требуется сообщить свое имя, номер телефона, адреса электронной почты и проживания, подходящие часы работы и пройти так называемый тест личности (Personality test) - психологический тест, направленный на выявление основных черт характера.

Заинтересовавшись использованием чат-бота в качестве специалиста по найму персонала, исследователи решили проверить, насколько безопасен такой способ. Они зарегистрировались в системе и в ходе прохождения теста обнаружили, что HTTP-запросы, отправлявшиеся системой, использовали параметр lead_id, который в их случае составлял 64 185 742. Из чистого любопытства Кэрролл и Карри попробовали уменьшить и увеличить значение этого параметра. И были весьма удивлены, когда в ответ получили полный доступ к данным других соискателей работы и даже их сессионные токены.

Эта уязвимость носит название небезопасной прямой ссылки на объект (Insecure Direct Object Reference - IDOR). Она позволяет получить неавторизованному пользователю доступ к объектам, которые должны быть для него недоступны. Защитой от него является адекватная система авторизации. Но здесь исследователи обнаружили еще одну проблему: административная панель McHIre для владельцев ресторанов McDonald’s использовала в качества логина и пароля комбинацию 123456.

В результате Кэрролл и Карри могли получить доступ к данным 64 миллионов заявок на трудоустройство в рестораны McDonald’s. Исследователи уведомили о ситуации и сеть McDonald’s, и компанию Paradox.ai, стоящую за разработкой и поддержкой платформы McHire. Представители McDonald’s назвали подобное пренебрежение нормами кибербезопасности «недопустимым». Компания Paradox.ai в тот же день исправила уязвимости и заверила, что никто из третьих лиц, кроме исследователей, не получил доступ к данным соискателей работы.