سمحت الثغرة الأمنية بالوصول غير المصرح به إلى المحادثات والبيانات الشخصية لأكثر من 64 مليون متقدم في الولايات المتحدة.
اكتشف الباحثان إيان كارول وسام كاري أن الواجهة الإدارية لبرنامج المحادثة الآلي McHire - وهي أداة طورتها شركة Paradox.ai ويستخدمها 90% من أصحاب امتيازات ماكدونالدز - تحتوي على بوابة معرضة للخطر بشكل كبير: اسم مستخدم وكلمة مرور مضبوطين على "123456".
وباستخدام هذه البيانات، تمكن الباحثون من الوصول إلى لوحة إدارة النظام ومحاكاة طلب وظيفة لفحص تشغيله الداخلي.
أثناء الاختبار، اكتشف الباحثون أن إرسال طلب وظيفة أدى إلى إنشاء طلب HTTP إلى نقطة النهاية /api/lead/cem-xhr، بما في ذلك معلمة تسمى lead_id. في اختباره، كان هذا المعرف 64,185,742.
ومن خلال تعديل هذا الرقم - بزيادته أو تقليله - اكتشفوا أنه يمكنهم عرض نصوص الدردشة الكاملة، ورموز الجلسة، والبيانات الشخصية للمستخدمين الآخرين الذين تقدموا بطلبات التوظيف مسبقًا.
يُعرف هذا النوع من الثغرات باسم IDOR، وهي ثغرة أمنية حيث يعرض التطبيق معرفات داخلية دون التحقق مما إذا كان لدى المستخدم إذن للوصول إلى تلك المعلومات.
تقوم شركة McHire، من خلال روبوت المحادثة الخاص بها Olivia، بجمع معلومات حساسة من المتقدمين: الاسم الكامل، وعنوان البريد الإلكتروني، ورقم الهاتف، والعنوان، والتوافر، وحتى إجابات اختبار الشخصية.
لقد سمح الجمع بين IDOR والوصول الإداري غير الآمن للباحثين - وأي شخص يتمتع بإمكانية وصول مماثلة - باستخراج البيانات الشخصية من الملايين الذين تقدموا بطلبات التوظيف في ماكدونالدز.
ليست هناك تعليقات:
إرسال تعليق