:

Szerző: Koi Tamás

2025. július 10. 13:39

Több millió állásra pályázó személyes adatait kotyogta el a McDonalds HR-chatbotja

A Meki nem csak a világ legnagyobb hamburgergyára, hanem az egyik legnagyobb munkáltatója is, az olajozottan működő gépezetbe azonban olykor-olykor náluk is bekerülhetnek kavicsok.

Valahol mindig csodálom a McDonalds könyörtelen logisztikáját és hatékonyságát, ami óriási szervezettséget és fegyelmet igényel a színfalak mögött - hogy aztán időről-időre kiderüljön, hogy ennél a cégnél is csak emberek dolgoznak.

Méghozzá több millióan, a meglehetősen nagy fluktuáció miatt pedig az éttermi pozíciókba jelentkezők száma ma már olyan nagy, hogy az előválogatást a legtöbb régióban egy chatbotra, név szerint Oliviára bízza a vállalat a McHire (sic!) platform részeként.

meki_bohoc

Ebbe a rendszerbe kapott étteremvezetői szintű hozzáférést két biztonsági kutató az "123456" felhasználói név és jelszó párossal, majd egy API-szintű biztonsági rést kihasználva hozzáfértek egy

64 millió állásra jelentkező nevét, email címét, telefonszámát és lakcímét tartalmazó adatbázishoz.


A kutatók a belépést követően értesítették a McDonalds-t és a rendszer üzemeltető alvállalkozót, a Paradox.ai -t, utóbbi gyorsan leszögezte, hogy egy 2019-ben használt tesztadatbázisról van csupán szó, melyet valójában rég le kellett volna törölni, illetve nincs arra utaló jel, hogy a két kiberbiztonsági szakembert leszámítva bárkinek feltűnt volna a banális biztonsági rés.

A Paradox szerint a rendszer ma már nem is engedi, hogy hasonló jelszóval regisztráljanak a szolgáltatásba, ám a már meglévő, korábban létrehozott gyenge jelszavak megváltoztatása a felhasználó felelőssége. A cég szintén kijavította az API-sebezhetőséget, melyen keresztül a szakemberek elérték az adatbázist.

Via The Verge, via Wired.

Fordulóponthoz értünk. A próbaidőszaknak vége, ez már karrier szempontból is véresen komoly játék. Ráadásul mindenkit érint az informatikában!

a címlapról