+02 683-5100
สั่งซื้อโทรกลับ
  • หน้าหลัก
  • บล็อก
  • รหัสผ่าน “123456” ทำข้อมูลสมัครงาน McHire รั่วกว่า 64 ล้านรายการ

รหัสผ่าน “123456” ทำข้อมูลสมัครงาน McHire รั่วกว่า 64 ล้านรายการ

ล่าสุดนักวิจัยด้านความปลอดภัยไซเบอร์ได้เปิดเผยช่องโหว่ร้ายแรงในระบบแชตบอตที่ใช้สำหรับรับสมัครงานของ McDonald’s ซึ่งทำให้ข้อมูลการสมัครงานจำนวนกว่า 64 ล้านรายการในสหรัฐฯ เสี่ยงรั่วไหลจากรหัสผ่านที่ง่ายเกินไป

McHire คืออะไร?

McHire เป็นแพลตฟอร์มที่พัฒนาโดยบริษัท Paradox.ai ซึ่งถูกใช้งานโดย McDonald’s แฟรนไชส์กว่า 90% ทั่วสหรัฐฯ เพื่ออำนวยความสะดวกให้ผู้สมัครสามารถกรอกใบสมัครผ่านแชตบอตชื่อ “Olivia” ได้ง่ายๆ โดยผ่านช่องทางออนไลน์ ผู้สมัครจะถูกขอให้ระบุชื่อ อีเมล เบอร์โทร ที่อยู่ รวมถึงตอบแบบทดสอบบุคลิกภาพ

ช่องโหว่เกิดจากอะไร?

นักวิจัย Ian Carroll และ Sam Curry ตรวจสอบระบบและพบว่า หน้าจอผู้ดูแลระบบของ McHire ใช้บัญชีทดสอบที่ตั้งชื่อผู้ใช้และรหัสผ่านว่า “123456” ทั้งคู่ ซึ่งเป็นรหัสผ่านที่เดาได้ง่ายและไม่ควรใช้ในระบบใดๆเลย

จากนั้นพวกเขาสมัครงานผ่านระบบทดลอง และพบว่าระบบส่งข้อมูลไปยัง API ที่มีพารามิเตอร์ชื่อ lead_id ซึ่งสามารถเปลี่ยนค่าขึ้นหรือลงเพียงเล็กน้อยเพื่อดึงข้อมูลของผู้สมัครคนอื่นๆ ได้ทันที โดยที่ระบบ ไม่มีการตรวจสอบสิทธิ์ ของผู้ใช้งานเลย

ช่องโหว่นี้เรียกว่า IDOR (Insecure Direct Object Reference) ซึ่งเป็นปัญหาที่มักเกิดขึ้นเมื่อแอปพลิเคชันอนุญาตให้เข้าถึงข้อมูลได้ง่ายๆ เพียงแค่เปลี่ยนหมายเลข ID โดยไม่เช็กสิทธิ์ให้ดี

ข้อมูลอะไรบ้างที่รั่วไหลไป?

เมื่อนักวิจัยลองปรับค่า lead_id ไปเรื่อยๆ พวกเขาสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนเหล่านี้ได้:

  • ประวัติการสนทนา ทั้งหมดในแชตบอต
  • ข้อมูลส่วนตัวของผู้สมัครงานจริง (ชื่อ, อีเมล, เบอร์โทร, ที่อยู่)
  • Token ของ session ที่อาจถูกนำไปใช้เข้าถึงระบบในภายหลังได้

    McDonald’s และ Paradox.ai จัดการอย่างไร?

    ช่องโหว่นี้ถูกแจ้งต่อ McDonald’s และ Paradox.ai เมื่อวันที่ 30 มิถุนายน โดย McDonald’s ยืนยันว่าทราบเรื่องภายในหนึ่งชั่วโมง และปิดการใช้งานบัญชีผู้ดูแลระบบที่ใช้รหัสผ่านเริ่มต้นทันที ขณะเดียวกัน Paradox.ai ก็รีบอุดช่องโหว่และเริ่มตรวจสอบระบบทั้งหมดเพื่อป้องกันไม่ให้เกิดปัญหาซ้ำ

    นอกจากนี้ Paradox.ai ยังระบุเพิ่มเติมว่าข้อมูลบางส่วนที่รั่วอาจเป็นเพียงการคลิกหรือโต้ตอบกับแชตบอตเท่านั้น ไม่ได้หมายความว่ามีการกรอกข้อมูลส่วนตัวเสมอไป

    บทเรียนสำคัญจากเหตุการณ์นี้

    กรณีนี้ตอกย้ำความสำคัญของการออกแบบระบบที่ปลอดภัย ไม่ว่าจะเป็นการหลีกเลี่ยงการใช้รหัสผ่านที่เดาได้ง่าย การตรวจสอบสิทธิ์ผู้ใช้ก่อนให้เข้าถึงข้อมูล และการทดสอบช่องโหว่ของระบบเป็นประจำ

    สำหรับผู้ใช้งานทั่วไป เหตุการณ์นี้ถือเป็นเครื่องเตือนใจว่า แม้จะสมัครงานผ่านระบบที่ดูน่าเชื่อถือ แต่ก็ยังต้องระมัดระวังในการกรอกข้อมูลส่วนตัว และควรเลือกใช้บริการจากเว็บไซต์ที่มีมาตรการด้านความปลอดภัยชัดเจน

    _____________________________________________________________________________________________________________________________________________________________________


    แหล่งที่มา: https://www.bleepingcomputer.com/news/security/123456-password-exposed-chats-for-64-million-mcdonalds-job-chatbot-applications/

    การใช้เว็บไซต์ของเราแสดงว่าคุณยินยอมให้เราใช้ คุกกี้ของไฟล์
    เห็นด้วย