資安專家伊恩・卡羅(Ian Carroll)近日揭露一項驚人漏洞:麥當勞的全球招募網站 McHire 的後台管理系統,居然能用「123456」這種極其簡單的密碼登入,導致全球高達 6,400 萬筆應徵者個資可能外洩。
從聊天機器人異常,揭開資安黑洞
整起事件起因於麥當勞整合在招聘系統中的 AI 聊天機器人「Olivia」。這款由 Paradox.ai 開發的 AI 招募助理,被卡羅發現會頻繁給出不合邏輯的回答,於是他決定進一步探究。
他親自透過 McHire 平台應徵當地麥當勞職缺,並與 Olivia 互動,包括輸入電子郵件、電話、可上班時段等資料,並進入性格測驗階段。不過在等待真人審查的空檔,他發現 Olivia 只會不斷重複模板式對話,無法提供有效回應。
「123456」就能登入後台 6,400 萬筆資料任意查閱
好奇之下,卡羅點進了 McHire 招募網站上的一個名為「Paradox Team Members」的管理者登入頁面。他隨意嘗試輸入帳號與密碼「123456」,竟然成功登入後台系統。
這組預設帳密疑似從未被重設或限制,導致後台資料毫無防護。登入後,他不僅能檢視應徵者與 Olivia 的完整對話紀錄,還能存取後端 API(PUT /api/lead/cem-xhr),並直接以「lead_id」參數存取應徵者資訊。
卡羅發現自己的對話 ID 是「64185742」,將數字遞減後竟然能查閱其他應徵者資料。換句話說,只要調整參數值,就能無限制查詢其他人的姓名、電話、信箱、住址、想上班的時段,甚至連登入憑證(Token)也一覽無遺。
資料外洩規模驚人、官方 2 小時內修補
根據卡羅推估,這個漏洞可能讓多達 6,400 萬筆全球應徵者資料暴露於毫無保護的狀態中。他在 2025 年 6 月 30 日通報麥當勞,40 分鐘後即收到 Paradox.ai 團隊回覆,並在 2 小時內關閉漏洞頁面。隔日雙方再次確認問題已獲解決。
這起事件顯示,即便是跨國企業如麥當勞,在外包招募平台與 AI 整合的背後,資安控管若疏忽,仍可能爆發嚴重的個資洩漏風險。
- 新聞來源:wired
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!