Oeps: AI-platform van McDonald’s bleek “123456” als wachtwoord te hebben
De ethische hackers richtten zich bij hun onderzoek op McHire, een door AI aangedreven rekruteringsplatform dat McDonald’s in de Verenigde Staten gebruikt. Wie een job zoekt bij de fastfoodketen, voert een gesprek met een AI-chatbot, die op die manier nagaat of je een geschikte kandidaat bent. Uiteraard wordt tijdens dat gesprek ook heel wat persoonlijke informatie verwerkt.
In eerste instantie probeerden de hackers om de AI-chatbot te kraken, maar dat bleek uiteindelijk niet te lukken, wat op zich positief is. Daar blijft het echter bij wat positieve elementen betreft. Verder bleek de beveiliging van het platform namelijk grote tekortkomingen te vertonen.
Wachtwoord “123456” leidt naar miljoenen gegevens
De hackers ontdekten een loginlink voor medewerkers van Paradox.ai, het bedrijf dat McHire ontwikkeld heeft voor McDonald’s. Op goed geluk probeerde men in te loggen met “123456” voor zowel de gebruikersnaam als het wachtwoord en tot hun verbazing volstond dat om toegang te krijgen als administrator. Tweestapsverificatie was niet aanwezig.
Aanvankelijk bleek er wel nog niet heel veel aan de hand te zijn. Met het account kreeg men toegang tot een testrestaurant met allemaal testinzendingen van medewerkers van Paradox.ai, dus hier leek geen echte data van echte werkzoekenden aanwezig te zijn. Desondanks kon via deze login uiteindelijk toegang verkregen worden tot miljoenen echte gegevens.
Doordat de hackers toegang hadden gekregen als admin, konden ze immers het gehele systeem uitpluizen. Daarbij werd een kwetsbaarheid ontdekt in de database waardoor het mogelijk was om toegang te krijgen tot zo goed als alle data van alle inzendingen, simpelweg door het identificatienummer van de inzending aan te passen. In totaal kon men zo toegang krijgen tot ongeveer 64 miljoen databestanden die voortkwamen uit gesprekken die de AI-bot had gevoerd met werkzoekenden.
McDonald’s reageert, lek gedicht
Omdat het ethische hackers waren die de gebrekkige beveiliging ontdekten, werd er geen misbruik van gemaakt. In plaats daarvan werden McDonald’s en Paradox.ai op de hoogte gebracht zodat de kwestie opgelost kon worden. Dat is inmiddels gebeurd.
Bij McDonald’s waren ze naar eigen zeggen teleurgesteld in het beveiligingsbeleid van hun externe partner, terwijl ook Paradox.ai bekende dat het fouten had gemaakt. Zo bleek de testaccount van in 2019 te dateren en had men die eigenlijk al lang moeten verwijderen, maar dat is niet gebeurd. Dit wijst op een ernstige tekortkoming in de beveiligingsprotocollen van het bedrijf, dat nu een nieuw initiatief heeft gelanceerd om bugs en kwetsbaarheden op te sporen.
Paradox.ai zei wel dat de hoeveelheid persoonlijke data die toegankelijk was al bij al beperkt was, maar daar kunnen toch vragen bij gesteld worden. De onderzoekers bekeken zeven databestanden en vijf daarvan bevatten effectief gevoelige persoonlijke gegevens die misbruikt kunnen worden voor bijvoorbeeld phishingaanvallen.
