当劳招聘平台安全漏洞致 6400 万份求职申请信息暴露

图片

01 漏洞细节：弱密码与 API 缺陷双重风险

网络安全研究人员伊恩・卡罗尔（Ian Carroll）和萨姆・库里（Sam Curry）近期披露，麦当劳旗下招聘聊天机器人平台 McHire 存在严重安全漏洞 —— 其管理员后台竟使用 "123456:123456" 的默认弱密码，同时内部 API 存在不安全直接对象引用（IDOR）漏洞。这意味着攻击者可轻易获取 6400 万份求职申请数据，包括申请人姓名、联系方式、地址等敏感信息。

研究人员在对 McHire 进行安全审查时发现，该平台为餐厅老板设置的管理界面竟未修改初始登录凭证。更严重的是，通过 API 接口的 ID 编号规则，攻击者可遍历获取所有申请人的完整资料，甚至包含求职状态变更记录和用户聊天授权令牌。这些信息足以让恶意者冒充求职者登录系统，进一步窃取原始聊天记录。

02 漏洞影响范围与数据类型

根据 API 接口的 ID 编号规律推算，McHire 平台累计处理超过 6400 万份求职申请。潜在泄露的数据包括：

• 个人身份信息：姓名、电子邮箱、电话号码、居住地址
• 求职过程数据：应聘状态变更记录、可工作班次等表单输入内容
• 系统访问权限：用户身份验证令牌，可用于登录消费者界面获取聊天记录

网络安全专家指出，此类漏洞暴露了企业在数字化招聘流程中的安全短板。"默认密码的存在简直不可原谅，这相当于给数据仓库留了一扇未上锁的大门"，资深安全顾问维利乌斯・佩特考斯卡斯（Vilius Petkauskas）评论道。

03 漏洞处置与安全建议

研究团队在发现漏洞后立即向 McHire 技术服务商 Paradox.ai 报告，该公司在 24 小时内完成修复。目前 McHire 已更新管理员认证机制，并对 API 接口增加权限校验。

网络安全社区借此再次强调基础安全实践的重要性：

• 强制使用高强度唯一密码，禁用 "123456" 等默认凭证
• 对 API 接口实施细粒度权限控制，防止 IDOR 漏洞
• 定期开展第三方安全审计，特别是处理敏感数据的系统
• 建立漏洞应急响应机制，确保安全事件快速处置

当 AI 聊天机器人等新技术应用于核心业务流程时，基础安全措施的缺失可能导致灾难性后果。随着招聘流程全面数字化，6400 万份求职数据的泄露不仅影响企业声誉，更可能引发大规模身份盗用风险。