Hacker News 中文摘要

RSS订阅

想要一份IDOR吗?麦当劳6400万份求职申请泄露 -- Would You Like an IDOR With That? Leaking 64m McDonald's Job Applications

原文链接 | HN讨论 | 2025-07-10 20:29:23

文章摘要

麦当劳使用的招聘聊天机器人平台McHire存在严重安全漏洞,包括默认登录凭证123456:123456和不安全的直接对象引用(IDOR)问题,导致任何人都可以访问求职者的个人信息和聊天记录,涉及6400万份求职申请。

文章总结

文章主要内容总结:

标题:你想要一个IDOR吗?泄露了6400万份麦当劳的工作申请

引言
麦当劳的90%特许经营商使用名为McHire的聊天机器人招聘平台,该平台由Paradox.ai公司开发,机器人名为Olivia,负责收集求职者的个人信息、班次偏好并进行性格测试。作者在Reddit上看到用户抱怨Olivia的回答毫无逻辑后,决定对其进行安全审查。

安全漏洞发现
在几小时的初步审查中,作者发现了两个严重问题: 1. McHire的管理界面使用了默认凭据123456:123456。 2. 内部API存在不安全的直接对象引用(IDOR),允许访问任何联系人和聊天记录。

这两个漏洞使得任何拥有McHire账户的人都能访问超过6400万申请者的个人数据。

申请工作
作者通过McHire的消费者网站申请了麦当劳的工作,并与Olivia互动,填写了邮箱、电话号码和班次偏好,随后进入性格测试阶段。Image 2: McHire personality test
性格测试由Traitify.com提供,问题涉及是否同意某些描述,如“喜欢加班”。测试后,作者卡在了等待人工审核的阶段。

登录系统
作者发现餐厅所有者可以通过https://www.mchire.com/signin登录查看申请者。尽管系统尝试强制使用SSO登录,但作者注意到“Paradox团队成员”的链接,并尝试使用默认凭据123456:123456成功登录。Image 3: image
登录后,作者成为了McHire系统中一个测试餐厅的管理员,可以查看所有员工信息。Image 4: McHire user administration

申请测试职位
作者申请了测试职位,并查看了餐厅所有者如何与Olivia互动。Image 5: Restaurant’s view of our conversation application
在查看聊天记录时,作者发现了一个有趣的API PUT /api/lead/cem-xhr,通过修改lead_id参数,可以访问其他申请者的个人信息,包括姓名、邮箱、电话号码、地址等。Image 6: image

漏洞披露
作者意识到该漏洞的潜在影响后,立即向Paradox.ai和麦当劳披露了问题。经过沟通,Paradox.ai团队迅速修复了漏洞,并承诺进一步审查以关闭其他可能的利用途径。

披露时间线
- 06/30/2025 5:46PM ET:向Paradox.ai和麦当劳披露问题。 - 06/30/2025 6:24PM ET:麦当劳确认收到并请求技术细节。 - 06/30/2025 7:31PM ET:默认凭据无法再访问应用。 - 07/01/2025 9:44PM ET:跟进状态。 - 07/01/2025 10:18PM ET:Paradox.ai确认问题已解决。

合作者
- Ian Carroll (https://twitter.com/iangcarroll) - Sam Curry (https://twitter.com/samwcyo)

评论总结

  1. 关于安全漏洞的讨论

    • 评论1和评论2指出,漏洞的发现与AI无关,而是由于测试站点的弱密码“123456”被轻易破解。评论1:“It involves AI but AI wasn't the cause.”(涉及AI,但AI不是原因。)评论2:“I cannot believe the 123456 worked, it's literally a joke from SpaceBalls.”(我无法相信“123456”居然有效,这简直是《太空炮弹》的笑话。)
    • 评论3和评论9批评了Paradox.ai的安全措施,指出其安全页面缺乏透明度,且漏洞多年未修复。评论3:“The Paradox.ai security page just says that we do not have to worry about security!”(Paradox.ai的安全页面只是说我们不必担心安全!)评论9:“Paradox.ai hasn't fixed their vulnerabilities for years.”(Paradox.ai多年来未修复其漏洞。)

  2. 关于性格测试的质疑

    • 评论5和评论7对性格测试的有效性提出质疑,认为其更像是确保应聘者知道如何正确撒谎的CAPTCHA。评论5:“It seems like it's just a CAPTCHA that makes sure the applicant knows when to lie correctly.”(这似乎只是一个确保应聘者知道何时正确撒谎的CAPTCHA。)评论7:“Funny I remember trying to get a job at McD's before and had to answer those behavioral questions kill 1 or 5.”(有趣的是,我记得以前试图在麦当劳找工作时,必须回答那些行为问题,选择杀死1个或5个。)

  3. 关于麦当劳招聘的批评

    • 评论10指出,麦当劳的招聘广告可能存在误导,因为申请人数远超过实际职位数量。评论10:“There are only 13,647 locations in the US, so that would be 4,689 applications for each store?”(美国只有13,647家门店,所以每家店会有4,689份申请?)
    • 评论8批评麦当劳对安全漏洞的响应速度,认为其反应比许多互联网公司更慢。评论8:“It’s kind of sad and yet expected that McDonald’s responds. Wyeth to security vulnerabilities than many Internet companies do.”(麦当劳的回应虽然令人遗憾,但也在意料之中。他们对安全漏洞的反应比许多互联网公司更慢。)

  4. 关于Paradox.ai的改进

    • 评论6赞扬了Paradox.ai在报告漏洞后30小时内修复的速度。评论6:“Hats off to Paradox for remediating this within 30 hours of reporting.”(向Paradox致敬,他们在报告后30小时内修复了问题。)

  5. 关于内部控制的批评

    • 评论11指出,Paradox.ai的系统不仅存在问题,内部也缺乏公司控制。评论11:“On top of the shit system in place, there is no corporate control internally.”(除了现有的糟糕系统,内部也缺乏公司控制。)