Home 零对冲(ZeroHedge)每日HackerNews

您想要一个圣人吗?泄露6400万麦当劳的工作申请
Would You Like an IDOR With That? Leaking 64m McDonald's Job Applications

原始链接: https://ian.sh/mcdonalds

90%的加盟商使用的麦当劳Mchire平台的安全审查显示了两个主要漏洞。首先,管理接口接受默认凭据“ 123456:123456”,授予对测试餐厅管理员帐户的访问权限。其次,API`/api/lead/cem-xhr`中的不安全的直接对象参考(idor)允许通过操纵`line_id`参数来未经授权访问候选数据。 这种组合允许拥有Mchire帐户的任何人都可以检索超过6400万麦当劳的工作申请人的个人数据,包括姓名,联系信息,地址,候选详细信息,偏好偏好,甚至身份验证令牌,以访问其用户帐户。 研究人员在申请工作并探索平台的功能时发现了漏洞。发现这些问题后,研究人员迅速向Paradox.ai和McDonald's透露了他们的发现。 Paradox.ai在最初的宣传后迅速解决了这些漏洞。

一位安全研究人员在麦当劳的工作应用系统中发现了一个婚外的脆弱性,可能泄漏了6400万个应用程序。该问题源于测试站点上易于猜测的默认密码(“ 123456”),并且缺乏适当的授权检查。研究人员还很难找到适用的安全联系信息,以供应用程序平台背后的AI供应商Paradox.ai。 评论中的讨论在很大程度上围绕麦当劳申请过程中使用的人格测试,许多人质疑其价值和准确性,这表明它们主要是对合规性和愿意为雇主说谎的测试。评论者还辩论了从零售到技术的各个行业中此类测试的流行和影响,以及它们使用的动机。其他讨论点包括围绕安全性,外包实践以及脆弱性发现和补救的复杂性。据报道,Paradox.AI在30小时内修复了已确定的漏洞。
相关文章
原文
联系我们 contact @ memedata.com