1. 事件發生經過(發生時間)
- 2025 年 6 月 30 日:資安研究人員 Ian Carroll 與 Sam Curry 開始調查麥當勞 AI 招聘平台 McHire,發現管理後台使用預設帳號密碼「123456」可登入,包括開發/測試環境。
- 登入後透過 API 發現 IDOR(不安全直接物件參照)漏洞,修改 applicant ID 即可存取其他求職者資料,整個過程約半小時內完成。
- 同日即通報 Paradox.ai 與麥當勞,Paradox.ai 於數小時內停用預設帳密,並於 7 月 1 日完成漏洞修補。
2. 影響範圍
- 該平台可能暴露超過 64,000,000 筆申請人資料,包括姓名、電子郵件、電話號碼、聊天紀錄與其他申請資訊。
- McHire 平台由 Paradox.ai 提供,覆蓋約 90% 麥當勞特許經營商的招聘流程,影響範圍廣泛。
- 雖然僅有 5 筆申請人資料被研究人員實際存取,但若落入不法人士手中,恐造成大規模釣魚詐騙、社交工程攻擊等風險。
3. 補救與防範措施
- 立即停用所有預設帳號與弱密碼(如「123456」),並要求管理/測試帳號設置強密碼並定期強制變更。
- 為所有管理入口啟用多因素驗證(MFA),避免單一帳密成為資安破口。
- 移除或封存所有不再使用的開發與測試帳號或環境,避免留有遺留入口。
- 針對第三方供應鏈(如 Paradox.ai)強化安全稽核,要求依照 SOC 2、ISO 27001 等標準,並納入合約與審查流程。
- 建立漏洞獎勵計畫(Bug Bounty Program),鼓勵外部資安研究者協助偵測潛在漏洞,以便提前修補。
4. 參考連結
- TechNews 報導:「麥當勞 AI 徵才機器人爆資安災難,6,400 萬筆求職者資料可能外洩?」
- Wired 深度揭露:「McDonald’s AI Hiring Bot Exposed Millions of Applicants’ Data to Hackers Who Tried the Password ‘123456’」
- Tom’s Hardware 與 Forbes 等媒體報導事件細節與影響分析
沒有留言:
張貼留言