McDonald’s lộ dữ liệu vì mật khẩu ‘123456’

Một lỗ hổng ngớ ngẩn khiến nền tảng tuyển dụng McDonald’s để lộ thông tin cá nhân của hơn 64 triệu ứng viên chỉ vì dùng mật khẩu quá đơn giản: “123456”.

McDonald’s, McHire, bảo mật, lộ dữ liệu, Paradox.ai, an ninh mạng, mật khẩu yếu

Nền tảng tuyển dụng McHire mà McDonald’s đang sử dụng vừa bị bóc trần một lỗ hổng bảo mật nghiêm trọng khi hai chuyên gia an ninh mạng có thể dễ dàng đăng nhập chỉ với mật khẩu “123456”, qua đó truy cập vào kho dữ liệu khổng lồ của hàng chục triệu người từng nộp đơn xin việc.

McHire vận hành một chatbot tên Olivia, giúp ứng viên trò chuyện và thực hiện bài kiểm tra tính cách để sàng lọc trước khi phỏng vấn. Bot này do công ty Paradox.ai phát triển.

Hai nhà nghiên cứu bảo mật Sam Curry và Ian Carroll cho biết họ chỉ cần nhập tên người dùng và mật khẩu đều là “123456” để đăng nhập thành công và trở thành admin của một nhà hàng thử nghiệm trong hệ thống McHire.

Chỉ với quyền truy cập này, họ đã tiếp cận được thông tin cá nhân của hơn 64 triệu ứng viên, bao gồm tên, email, số điện thoại, địa chỉ, tiểu bang nơi sinh sống và token xác thực dùng để vào website. Thậm chí, họ còn có thể đọc toàn bộ các cuộc trò chuyện mà bất cứ ai từng nhắn với chatbot Olivia trong quá trình xin việc.

Curry và Carroll chia sẻ trong báo cáo: “Chúng tôi gần như chỉ đùa vui, nhập thử ‘123456’ cho cả tên người dùng và mật khẩu, không ngờ lại đăng nhập được ngay. Thế là chúng tôi trở thành admin của một nhà hàng test.”

Sự việc này khiến giới bảo mật lắc đầu ngao ngán, dù không quá bất ngờ vì vấn đề an ninh mạng từ lâu vốn không phải ưu tiên của nhiều doanh nghiệp. Tuy nhiên, mức độ cẩu thả lần này bị đánh giá là cực kỳ nghiêm trọng, để lộ thông tin nhạy cảm của hàng triệu người xin việc.

Curry và Carroll đã thông báo lỗ hổng cho Paradox.ai và McDonald’s vào ngày 30/6. Trong cùng ngày, McDonald’s xác nhận tài khoản dùng để truy cập ứng dụng đã bị vô hiệu hóa. Đến ngày 1/7, Paradox.ai phản hồi rằng họ đã khắc phục xong sự cố. Trong bài đăng blog, Paradox cho biết:

“Ngày 30/6, hai nhà nghiên cứu an ninh mạng liên hệ đội ngũ Paradox thông báo lỗ hổng. Chúng tôi đã điều tra và xử lý vấn đề chỉ trong vài giờ.”

Paradox giải thích sự cố bắt nguồn từ một tài khoản test cũ với mật khẩu chưa từng được đổi, dù tiêu chuẩn bảo mật hiện tại đã được nâng cấp. Khi đăng nhập bằng tài khoản đó, hai nhà nghiên cứu phát hiện ra lỗ hổng API, cho phép truy cập dữ liệu chat của một instance khách hàng cụ thể. Đáng tiếc, các đợt kiểm thử bảo mật trước đây của Paradox lại không phát hiện ra lỗi này.