להגדיל ב-123456? בוטית של מקדונלד'ס חשפה נתוני מיליוני אנשים

ליקויי אבטחה בסיסיים במקדונלד'ס (McDonald's) חשפו את המידע האישי של עשרות מיליוני מחפשי עבודה.

מי שהיו מעוניינים בעבודה במקדונלד'ס הגישו את המועמדות שלהם בצירוף פרטיהם, כנהוג בחברה, באופן מקוון. לענקית המזון המהיר יש את אוליביה – צ'טבוטית מבוססת בינה מלאכותית, שמסננת מועמדים, מבקשת את פרטי הקשר שלהם ואת קורות חייהם, מפנה אותם למבחן אישיות, ומדי פעם גם מצליחה לעצבן את המועמדים, ששואלים שאלות בסיסיות ביותר ולא נענים.

את הפלטפורמה שמפעילה את הצ'טבוטית אוליביה, בנתה חברת Paradox.ai. במקריות פרדוקסלית לא משעשעת, הבוטית של החברה סבלה מליקויי אבטחה בסיסיים. כך, כמעט כל האקר יכול היה לגשת לרשומות של כל צ'אט ש-אוליביה ניהלה אי פעם עם המועמדים של מקדונלד'ס – כולל כל המידע האישי שהם שיתפו בשיחות האלה – עם טריקים פשוטים כמו ניחוש שם המשתמש והסיסמה '123456'.

חוקרי האבטחה איאן קרול וסם קארי חשפו אתמול (ד') כי מצאו שיטות פשוטות לפרוץ לפלטפורמת הצ'ט בוט – ב-McHire.com. 

McHire.com זהו אתר של מקדונלד'ס, שרבים מהזכיינים שלה משתמשים בו כדי לטפל בבקשות עבודה. קרול וקארי, האקרים בעלי רקורד ארוך של בדיקות אבטחה עצמאיות, גילו שנקודות תורפה פשוטות – כולל ניחוש סיסמה אחת, חלשה עד כדי גיחוך – איפשרו להם לגשת לחשבון Paradox.ai ולבצע שאילתות במאגרי הנתונים של החברה. הם העריכו שהנתונים כוללים עד 64 מיליון רשומות, כולל שמות, כתובות דוא"ל ומספרי טלפון.

When applying for a job at McDonald's, over 90% of franchises use "Olivia," an AI-powered chatbot. We (@iangcarroll and I) discovered a vulnerability that could allow an attacker to access the over 64 million chat records using the password "123456".https://t.co/dBqpRpdp9T

— Sam Curry (@samwcyo) July 9, 2025

גישה מלאה כמעט לכל בקשה שהוגשה אי פעם למקדונלד'ס

קרול אמר ל-WIRED כי גילה את האבטחה הלקויה רק בגלל שהוא הסתקרן "מהחלטתה של מקדונלד'ס להעביר עובדים חדשים פוטנציאליים לסינון של צ'טבוט ומבחן אישיות. חשבתי שזה די דיסטופי וייחודי, בהשוואה לתהליך גיוס רגיל, נכון?. הגשתי מועמדות ולאחר 30 דקות, הייתה לנו גישה מלאה כמעט לכל בקשה שהוגשה אי פעם למקדונלד'ס, שנים אחורה".

דובר Paradox.ai אישר את הממצאים של קרול וקארי. החברה ציינה כי "רק חלק קטן מהרשומות הכילו מידע אישי", והוסיפה כי היא וידאה שהחשבון עם סיסמת '123456' שחשף את המידע – לא ניגש לצד שלישי כלשהו, מלבד החוקרים. החברה גם הוסיפה כי היא מקימה תוכנית תחרות איתור חולשות, "באג באונטי": "אנחנו לא מתייחסים לעניין בקלות ראש, למרות שהוא נפתר במהירות וביעילות", הבהירה פרדוקס.

מקדונלד'ס מסרה בתגובה: "אנו מאוכזבים מהפגיעות הבלתי מתקבלת על הדעת הזו מצד ספקית צד ג', Paradox.ai. כשנודע לנו על הבעיה, הטלנו עליה לתקן אותה מיידית, והיא נפתרה באותו יום".

קרול אמר שהוא ניסה שתיים מהקבוצות הנפוצות ביותר של אישורי כניסה: שם המשתמש והסיסמה 'admin', ולאחר מכן שם המשתמש והסיסמה '123456'. השני מבין שני הניסיונות האלה עבד.

"זה נפוץ יותר ממה שאתה חושב", אמר קרול והסביר שכנראה שלא היה אימות רב-גורמי לדף הכניסה של Paradox.ai. עם אישורים אלה, קרול וקארי קיבלו גישת אדמין לחלק של מקדונלד'ס באתר הגיוס מק'שייר ומשם – לפרטי כל העובדים הרשומים שם, מפתחי Paradox.ai, שהם ככל הנראה מווייטנאם.

כשקרול וקארי התחילו להתעסק עם מספר הזיהוי של המועמד, לכאורה, שלהם – השניים גילו שביכולתם לגשת לרשומות של מיליוני מועמדים.

"המידע האישי שנחשף על ידי ליקויי האבטחה של Paradox.ai אינו הרגיש ביותר", ציינו קרול וקארי, "אבל הסיכון עבור המועמדים גדל בשל העובדה שהנתונים קשורים לידיעה על העסקתם במקדונלד'ס – או לכוונתם למצוא עבודה שם".

מומחים ציינו כי אם מישהו היה מנצל את הפרצה, סיכון הפישינג היה עצום, ומשם חשש להונאות כספיות, ובראשן – בקשת מידע פיננסי לטובת הבטחה להפקדה ישירה, משמע – הונאת שכר.