Giới thiệu
McHire là nền tảng chatbot tuyển dụng được sử dụng bởi 90% chuỗi nhượng quyền McDonald’s, do công ty Paradox.ai phát triển. Nền tảng này sử dụng chatbot “Olivia” để thu thập thông tin cá nhân của ứng viên, lịch làm việc mong muốn và tiến hành các bài trắc nghiệm tính cách. Trong một đợt kiểm tra bảo mật ngắn, hai vấn đề nghiêm trọng đã được phát hiện:
- Tài khoản quản trị hệ thống McHire sử dụng mật khẩu mặc định (
123456:123456). - Một lỗ hổng IDOR (Insecure Direct Object Reference) cho phép truy cập trái phép vào dữ liệu ứng viên.
Hai lỗi này kết hợp lại có thể cho phép bất kỳ ai có tài khoản McHire truy cập thông tin cá nhân của hơn 64 triệu hồ sơ ứng tuyển.
Quá trình khai thác
1. Ứng tuyển thử nghiệm
Nghiên cứu bắt đầu bằng việc ứng tuyển thử tại một McDonald’s địa phương thông qua https://jobs.mchire.com/. Ứng viên được chuyển đến chatbot Olivia, nơi họ điền thông tin liên hệ và lựa chọn ca làm việc. Sau đó, họ được chuyển đến bài trắc nghiệm tính cách của Traitify.com.
Bài kiểm tra hỏi những câu như “thích làm thêm giờ” có phải là bạn hay không. Dễ dàng nhận ra các câu trả lời phù hợp với nhà tuyển dụng nên chọn “Me”, nhưng quá trình này vẫn khá kỳ quặc. Sau đó, hệ thống dừng lại, không cho tiến thêm và chờ phê duyệt từ người thật.
2. Truy cập giao diện quản trị McHire
Tại địa chỉ https://www.mchire.com/signin, ngoài phần đăng nhập SSO của McDonald’s, có một liên kết dành cho “Paradox team members”. Khi thử đăng nhập với username và password đều là 123456, nhóm nghiên cứu đã thành công truy cập hệ thống quản trị của một nhà hàng thử nghiệm.
Tài khoản này cho phép xem tất cả nhân viên của nhà hàng – là nhân viên Paradox.ai – và các bài đăng tuyển dụng mẫu.
3. Khai thác IDOR để truy cập dữ liệu ứng viên
Trong khi duyệt qua các cuộc hội thoại của ứng viên, nhóm nghiên cứu phát hiện API /api/lead/cem-xhr, nơi tham số chính là lead_id. Với lead_id ban đầu là khoảng 64,185,742, họ thử giảm dần ID này và phát hiện dữ liệu cá nhân của các ứng viên khác xuất hiện, bao gồm:
- Họ tên, email, số điện thoại, địa chỉ
- Trạng thái ứng tuyển và các thông tin về form đã điền
- Token đăng nhập UI, cho phép xem toàn bộ đoạn chat và thông tin khác của ứng viên
Bảng thông tin khai thác được
| Loại dữ liệu | Mức độ nhạy cảm | Mô tả |
|---|---|---|
| Thông tin liên hệ | Cao | Họ tên, số điện thoại, email, địa chỉ |
| Thông tin hồ sơ | Trung bình | Ca làm việc, trạng thái ứng tuyển, form |
| Token người dùng | Rất cao | Cho phép truy cập giao diện ứng viên |
Quá trình tiết lộ và phản hồi
Quá trình liên hệ ban đầu gặp khó khăn vì không có kênh disclosure rõ ràng. Trang bảo mật của Paradox.ai còn tuyên bố rằng “bạn không cần lo lắng về bảo mật”. Cuối cùng, nhóm đã tiếp cận được đúng người và vấn đề được xử lý nhanh chóng.
Dòng thời gian công bố:
- 06/30/2025 17:46 ET: Gửi báo cáo cho Paradox.ai và McDonald’s
- 06/30/2025 18:24 ET: McDonald’s xác nhận đã nhận và yêu cầu chi tiết kỹ thuật
- 06/30/2025 19:31 ET: Tài khoản
123456bị vô hiệu hóa - 07/01/2025 21:44 ET: Gửi follow-up xác nhận
- 07/01/2025 22:18 ET: Paradox.ai xác nhận đã xử lý toàn bộ lỗ hổng
Bài học và kết luận
Cuộc tấn công này cho thấy rằng ngay cả những nền tảng phục vụ mục đích phổ biến như tuyển dụng cũng có thể bị bỏ ngỏ bởi các lỗi sơ đẳng như mật khẩu mặc định và IDOR. Từ một thử nghiệm đơn giản, nhóm nghiên cứu đã truy cập được thông tin nhạy cảm của hơn 64 triệu ứng viên.
Các hệ thống thu thập dữ liệu cá nhân quy mô lớn cần có quy trình đánh giá bảo mật định kỳ, chính sách phân quyền nghiêm ngặt, và cơ chế xử lý disclosure rõ ràng thay vì để người nghiên cứu tự dò địa chỉ email.
Collaborators:
Ian Carroll (Twitter)
Sam Curry (Twitter)
Source link: Would you like an IDOR with that?
