ช่องโหว่ด้านความปลอดภัยครั้งใหญ่ในระบบสมัครงานของ McDonald's ได้เปิดเผยข้อมูลส่วนตัวของผู้หางานมากกว่า 64 ล้านคน การรั่วไหลเกิดขึ้นผ่าน McHire แพลตฟอร์มสรรหาบุคลากรแบบแชทบอทที่ใช้โดยแฟรนไชส์ McDonald's 90% ทั่วโลก ซึ่งพัฒนาโดย Paradox.ai
นักวิจัยด้านความปลอดภัยค้นพบว่าพวกเขาสามารถเข้าถึงส่วนติดต่อผู้ดูแลระบบได้โดยใช้ข้อมูลประจำตัวเริ่มต้นที่เรียกได้ว่าเรียบง่ายจนน่าหัวเราะ คือ 123456 สำหรับทั้งชื่อผู้ใช้และรหัสผ่าน สิ่งนี้ทำให้พวกเขาเข้าถึงบัญชีร้านอาหารทดสอบภายในระบบ McHire ได้ และเผยให้เห็นว่าแพลตฟอร์มนี้ทำงานอย่างไรจากมุมมองของนายจ้าง
ขนาดของระบบ:
- ผู้สมัครงานที่ได้รับผลกระทบมากกว่า 64 ล้านคน
- ใช้งานโดย 90% ของแฟรนไชส์ McDonald's ทั่วโลก
- McDonald's มีสาขาดำเนินการมากกว่า 38,000 สาขาทั่วโลก
- มี 13,647 สาขาในสหรัฐอเมริกาเพียงประเทศเดียว
 |
|---|
| ภาพหน้าจอนี้เน้นข้อมูลสำคัญเกี่ยวกับการรั่วไหลของข้อมูลที่เกี่ยวข้องกับระบบใบสมัครงานของ McDonald's ซึ่งเป็นการเตรียมความพร้อมสำหรับเรื่องราวการละเมิดความปลอดภัยข้อมูล |
ความเรียบง่ายที่น่าตกใจของการรั่วไหล
ช่องโหว่นี้ถูกค้นพบโดยบังเอิญเมื่อนักวิจัยสังเกตเห็นตัวเลือกการเข้าสู่ระบบสำหรับสมาชิกทีม Paradox บนพอร์ทัลผู้ดูแลระบบ McHire โดยไม่คิดอะไรมาก พวกเขาลองใช้รหัสผ่านพื้นฐานที่สุดเท่าที่จะนึกได้ และมันใช้งานได้ทันที
โดยไม่คิดอะไรมาก เราใส่ '123456' เป็นชื่อผู้ใช้และ '123456' เป็นรหัสผ่าน และรู้สึกประหลาดใจที่เราสามารถเข้าสู่ระบบได้ทันที!
สิ่งนี้ทำให้พวกเขาได้รับสิทธิ์ผู้ดูแลระบบทันทีสำหรับสิ่งที่ดูเหมือนจะเป็นร้าน McDonald's ทดสอบ พร้อมด้วยพนักงานปลอมที่จริงๆ แล้วเป็นพนักงานของ Paradox.ai แม้ว่าสิ่งนี้จะน่ากังวล แต่ความเสียหายที่แท้จริงมาจากสิ่งที่พวกเขาค้นพบต่อมา
ไทม์ไลน์การละเมิด:
- 30 มิถุนายน 2025 เวลา 17:46 น. ET: การเปิดเผยครั้งแรกให้กับ Paradox.ai และ McDonald's
- 30 มิถุนายน 2025 เวลา 18:24 น. ET: McDonald's ยืนยันการรับทราบ
- 30 มิถุนายน 2025 เวลา 19:31 น. ET: ปิดการใช้งานข้อมูลประจำตัวเริ่มต้น
- 1 กรกฎาคม 2025 เวลา 22:18 น. ET: Paradox.ai ยืนยันการแก้ไขปัญหาอย่างสมบูรณ์
การเปิดเผยข้อมูลจำนวนมหาศาลผ่านการออกแบบความปลอดภัยที่ไม่ดี
เมื่อเข้าไปในระบบแล้ว นักวิจัยพบ API endpoint ที่อนุญาตให้พวกเขาดึงข้อมูลผู้สมัครโดยใช้ ID ตัวเลขง่ายๆ เพียงแค่เปลี่ยน ID ในคำขอของพวกเขา พวกเขาก็สามารถเข้าถึงโปรไฟล์ที่สมบูรณ์ของผู้สมัครงานคนใดก็ได้จากฐานข้อมูล McHire ทั้งหมด
ข้อมูลที่เปิดเผยมีมากมายและเป็นข้อมูลส่วนตัวอย่างลึกซึ้ง แต่ละบันทึกมีชื่อเต็ม ที่อยู่อีเมล หมายเลขโทรศัพท์ ที่อยู่บ้าน ความต้องการด้านความพร้อมในการทำงาน และประวัติการสนทนาที่สมบูรณ์กับแชทบอท Olivia ที่น่ากังวลที่สุดคือ ระบบยังให้โทเค็นการตรวจสอบสิทธิ์ที่สามารถใช้เพื่อปลอมตัวเป็นผู้สมัครและเข้าถึงบัญชีของพวกเขาโดยตรง
หมายเลข ID หลักไปถึงช่วง 64 ล้าน ซึ่งบ่งบอกถึงขนาดใหญ่ของข้อมูลที่อาจถูกบุกรุก สิ่งนี้ไม่ได้แสดงเพียงผู้สมัครปัจจุบันเท่านั้น แต่น่าจะเป็นข้อมูลการสมัครงานที่สะสมมาหลายปีจากสาขา McDonald's ทั่วโลก
ประเภทข้อมูลที่ถูกเปิดเผย:
- ชื่อ-นามสกุลเต็ม ที่อยู่อีเมล หมายเลขโทรศัพท์
- ที่อยู่บ้านและความต้องการในการทำงาน
- ประวัติการสนทนาทั้งหมดกับแชทบอทสำหรับการสรรหาบุคลากร
- โทเค็นการยืนยันตัวตนสำหรับการปลอมแปลงบัญชี
- ผลการทดสอบบุคลิกภาพและสถานะการสมัครงาน
 |
|---|
| ส่วนติดต่อผู้ใช้สำหรับการจัดการผู้ใช้ของแพลตฟอร์ม McHire เผยให้เห็นโครงสร้างที่สามารถใช้เข้าถึงข้อมูลผู้สมัครที่มีความอ่อนไหวได้ ซึ่งเน้นย้ำถึงช่องโหว่ด้านความปลอดภัยที่รุนแรง |
ความจริงที่น่าตกใจของการจ้างงานในร้านอาหารจานด่วน
นอกเหนือจากปัญหาด้านความปลอดภัยแล้ว การรั่วไหลครั้งนี้ยังจุดประกายการอภิปรายอย่างเข้มข้นเกี่ยวกับแนวทางการจ้างงานของ McDonald's โดยเฉพาะข้อกำหนดการทดสอบบุคลิกภาพ ระบบบังคับให้ผู้สมัครผ่านการทดสอบที่ถามว่าวลีอย่าง ชอบทำงานล่วงเวลา อธิบายพวกเขาหรือไม่ โดยมีคำตอบที่ชอบอย่างชัดเจนที่เอื้อประโยชน์ต่อนายจ้าง
สมาชิกชุมชนได้แบ่งปันประสบการณ์ที่น่าหงุดหงิดของตนเองกับระบบที่คล้ายกันในอุตสาหกรรมค้าปลีกและบริการอาหาร หลายคนอธิบายการทดสอบเหล่านี้ว่าเป็นการฝึกฝนในการรู้วิธีโกหกอย่างน่าเชื่อมากกว่าการประเมินบุคลิกภาพที่แท้จริง การทดสอบดูเหมือนจะออกแบบมาเพื่อระบุคนงานที่จะยอมรับและยอมรับสภาพการทำงานที่ไม่ดีโดยไม่บ่น
บางคนโต้แย้งว่าการคัดกรองบุคลิกภาพเหล่านี้ทำหน้าที่เป็นตัวกรองความสิ้นหวัง - ระบุผู้สมัครที่เต็มใจจะพูดสิ่งที่นายจ้างต้องการฟัง โดยไม่คำนึงถึงความซื่อสัตย์ สิ่งนี้สร้างกระบวนการจ้างงานที่อาจเลือกคนที่เต็มใจจะไม่ซื่อสัตย์หากมันเป็นประโยชน์ต่อผลประโยชน์ของพวกเขา
การตอบสนองอย่างรวดเร็วหลังการเปิดเผยต่อสาธารณะ
นักวิจัยเผชิญกับความท้าทายอย่างมากในการรายงานการค้นพบของพวกเขา เนื่องจาก Paradox.ai ไม่มีข้อมูลติดต่อด้านความปลอดภัยที่เปิดเผยต่อสาธารณะ หน้าความปลอดภัยของพวกเขาเดิมระบุเพียงว่าผู้ใช้ไม่ต้องกังวลเกี่ยวกับความปลอดภัย ซึ่งเป็นคำแถลงที่พิสูจน์แล้วว่าเป็นการทำนายที่ขัดแย้งกัน
หลังจากที่นักวิจัยสามารถติดต่อผู้ที่เหมาะสมผ่านช่องทางต่างๆ ได้ ทั้ง Paradox.ai และ McDonald's ตอบสนองอย่างรวดเร็ว ข้อมูลประจำตัวเริ่มต้นถูกปิดใช้งานภายในไม่กี่ชั่วโมง และบริษัทยืนยันว่าปัญหาทั้งหมดได้รับการแก้ไขภายในประมาณ 30 ชั่วโมงหลังจากรายงานเริ่มต้น
แม้ว่าการตอบสนองที่รวดเร็วจะน่าชื่นชม แต่เหตุการณ์นี้ทำให้เกิดคำถามร้ายแรงเกี่ยวกับวิธีที่ความล้มเหลวด้านความปลอดภัยพื้นฐานดังกล่าวสามารถเกิดขึ้นได้ในระบบที่จัดการข้อมูลส่วนตัวของผู้คนหลายล้านคน การใช้รหัสผ่านเริ่มต้นในระบบการผลิตแสดงถึงความล้มเหลวพื้นฐานของแนวทางความปลอดภัยที่ไม่ควรเกิดขึ้นในการพัฒนาซอฟต์แวร์สมัยใหม่
การรั่วไหลครั้งนี้เป็นเครื่องเตือนใจอย่างชัดเจนว่าแม้แต่การมองข้ามความปลอดภัยที่พื้นฐานที่สุดก็สามารถมีผลกระทบมหาศาลเมื่อเกิดขึ้นในระบบที่จัดการข้อมูลส่วนตัวที่ละเอียดอ่อนในระดับใหญ่
อ้างอิง: Would you like an IDOR with that? Leaking 64 million McDonald's job applications