-->

whaust

2025年7月31日 星期四

密碼竟是「123456」!McHire 平台爆出 64,000,000 筆求職者資料外洩危機


1. 事件發生經過(發生時間)

  • 2025 年 6 月 30 日:資安研究人員 Ian Carroll 與 Sam Curry 開始調查麥當勞 AI 招聘平台 McHire,發現管理後台使用預設帳號密碼「123456」可登入,包括開發/測試環境。
  • 登入後透過 API 發現 IDOR(不安全直接物件參照)漏洞,修改 applicant ID 即可存取其他求職者資料,整個過程約半小時內完成。
  • 同日即通報 Paradox.ai 與麥當勞,Paradox.ai 於數小時內停用預設帳密,並於 7 月 1 日完成漏洞修補。

2. 影響範圍

  • 該平台可能暴露超過 64,000,000 筆申請人資料,包括姓名、電子郵件、電話號碼、聊天紀錄與其他申請資訊。
  • McHire 平台由 Paradox.ai 提供,覆蓋約 90% 麥當勞特許經營商的招聘流程,影響範圍廣泛。
  • 雖然僅有 5 筆申請人資料被研究人員實際存取,但若落入不法人士手中,恐造成大規模釣魚詐騙、社交工程攻擊等風險。

3. 補救與防範措施

  • 立即停用所有預設帳號與弱密碼(如「123456」),並要求管理/測試帳號設置強密碼並定期強制變更。
  • 為所有管理入口啟用多因素驗證(MFA),避免單一帳密成為資安破口。
  • 移除或封存所有不再使用的開發與測試帳號或環境,避免留有遺留入口。
  • 針對第三方供應鏈(如 Paradox.ai)強化安全稽核,要求依照 SOC 2、ISO 27001 等標準,並納入合約與審查流程。
  • 建立漏洞獎勵計畫(Bug Bounty Program),鼓勵外部資安研究者協助偵測潛在漏洞,以便提前修補。

4. 參考連結



沒有留言:

張貼留言

Popular