Một lỗ hổng bảo mật nghiêm trọng trong hệ thống tuyển dụng của McDonald's đã để lộ thông tin cá nhân của hơn 64 triệu người tìm việc. Vụ rò rỉ xảy ra thông qua McHire, một nền tảng tuyển dụng chatbot được 90% các nhà nhượng quyền McDonald's trên toàn thế giới sử dụng, do Paradox.ai phát triển.
Các nhà nghiên cứu bảo mật đã phát hiện họ có thể truy cập giao diện quản trị của hệ thống bằng cách sử dụng thông tin đăng nhập mặc định đơn giản đến mức buồn cười là 123456 cho cả tên người dùng và mật khẩu. Điều này cho phép họ truy cập vào tài khoản nhà hàng thử nghiệm trong hệ thống McHire, tiết lộ cách thức hoạt động của nền tảng từ góc độ nhà tuyển dụng.
Quy mô hệ thống:
- Hơn 64 triệu ứng viên xin việc bị ảnh hưởng
- Được sử dụng bởi 90% các nhà nhượng quyền McDonald's trên toàn cầu
- McDonald's vận hành hơn 38.000 cửa hàng trên toàn thế giới
- 13.647 địa điểm tại Hoa Kỳ
 |
|---|
| Ảnh chụp màn hình này làm nổi bật thông tin quan trọng về vụ rò rỉ dữ liệu liên quan đến hệ thống đơn xin việc của McDonald's , tạo tiền đề cho câu chuyện về vi phạm bảo mật |
Sự đơn giản gây sốc của vụ rò rỉ
Lỗ hổng này được phát hiện gần như tình cờ khi các nhà nghiên cứu nhận thấy tùy chọn đăng nhập dành cho các thành viên nhóm Paradox trên cổng quản trị McHire. Không mong đợi nhiều, họ đã thử kết hợp mật khẩu cơ bản nhất có thể tưởng tượng - và nó đã hoạt động ngay lập tức.
Không suy nghĩ nhiều, chúng tôi đã nhập '123456' làm tên người dùng và '123456' làm mật khẩu và ngạc nhiên khi thấy chúng tôi được đăng nhập ngay lập tức!
Điều này ngay lập tức cấp cho họ quyền truy cập quản trị vào cái có vẻ như là một nhà hàng McDonald's thử nghiệm, hoàn chỉnh với các nhân viên giả mạo thực chất là nhân viên của Paradox.ai. Mặc dù điều này đáng lo ngại, thiệt hại thực sự đến từ những gì họ phát hiện tiếp theo.
Dòng thời gian vi phạm:
- 30 tháng 6, 2025 5:46PM ET: Tiết lộ ban đầu cho Paradox.ai và McDonald's
- 30 tháng 6, 2025 6:24PM ET: McDonald's xác nhận đã nhận được
- 30 tháng 6, 2025 7:31PM ET: Thông tin đăng nhập mặc định đã bị vô hiệu hóa
- 1 tháng 7, 2025 10:18PM ET: Paradox.ai xác nhận đã giải quyết hoàn toàn
Rò rỉ dữ liệu khổng lồ thông qua thiết kế bảo mật kém
Khi đã vào trong hệ thống, các nhà nghiên cứu đã tìm thấy một điểm cuối API cho phép họ lấy thông tin ứng viên bằng cách sử dụng các ID số đơn giản. Chỉ bằng cách thay đổi số ID trong các yêu cầu của họ, họ có thể truy cập hồ sơ hoàn chỉnh của bất kỳ ứng viên nào từ toàn bộ cơ sở dữ liệu McHire.
Thông tin bị lộ rất rộng rãi và mang tính cá nhân sâu sắc. Mỗi bản ghi chứa họ tên đầy đủ, địa chỉ email, số điện thoại, địa chỉ nhà, sở thích về thời gian làm việc, và lịch sử trò chuyện hoàn chỉnh với chatbot Olivia. Đáng lo ngại nhất, hệ thống cũng cung cấp các token xác thực có thể được sử dụng để mạo danh ứng viên và truy cập trực tiếp vào tài khoản của họ.
Các số ID dẫn đầu đạt tới phạm vi 64 triệu, cho thấy quy mô khổng lồ của dữ liệu có khả năng bị xâm phạm. Điều này đại diện không chỉ cho các ứng viên hiện tại, mà có thể là nhiều năm dữ liệu đơn xin việc tích lũy từ các địa điểm McDonald's trên toàn thế giới.
Các Loại Dữ Liệu Bị Lộ:
- Họ tên đầy đủ, địa chỉ email, số điện thoại
- Địa chỉ nhà riêng và các ưu tiên về thời gian làm việc
- Toàn bộ lịch sử trò chuyện với chatbot tuyển dụng
- Token xác thực để mạo danh tài khoản
- Kết quả bài kiểm tra tính cách và trạng thái đơn ứng tuyển
 |
|---|
| Giao diện quản trị người dùng của nền tảng McHire tiết lộ cấu trúc mà qua đó thông tin nhạy cảm của ứng viên có thể bị truy cập, làm nổi bật lỗ hổng bảo mật nghiêm trọng |
Thực tế đáng lo ngại của việc tuyển dụng thức ăn nhanh
Ngoài các vấn đề bảo mật, vụ rò rỉ đã gây ra cuộc thảo luận sôi nổi về các thực hành tuyển dụng của McDonald's, đặc biệt là yêu cầu kiểm tra tính cách của họ. Hệ thống buộc các ứng viên phải trải qua các bài kiểm tra hỏi liệu các cụm từ như thích làm thêm giờ có mô tả họ hay không, với những câu trả lời ưa thích rõ ràng có lợi cho nhà tuyển dụng.
Các thành viên cộng đồng đã chia sẻ những trải nghiệm bực bội của riêng họ với các hệ thống tương tự trong ngành bán lẻ và dịch vụ thực phẩm. Nhiều người mô tả những bài kiểm tra này như các bài tập biết cách nói dối một cách thuyết phục hơn là đánh giá tính cách thực sự. Các bài kiểm tra có vẻ được thiết kế để xác định những người lao động sẽ tuân thủ và chấp nhận điều kiện làm việc kém mà không phàn nàn.
Một số người cho rằng những bài sàng lọc tính cách này phục vụ như một bộ lọc cho sự tuyệt vọng - xác định các ứng viên sẵn sàng nói bất cứ điều gì mà nhà tuyển dụng muốn nghe, bất kể sự trung thực. Điều này tạo ra một quy trình tuyển dụng thực sự có thể lựa chọn những người sẵn sàng không trung thực nếu điều đó phục vụ lợi ích của họ.
Phản ứng nhanh chóng sau khi công bố công khai
Các nhà nghiên cứu đã gặp những thách thức đáng kể trong việc báo cáo phát hiện của họ, vì Paradox.ai không có thông tin liên hệ bảo mật công khai. Trang bảo mật của họ ban đầu chỉ tuyên bố rằng người dùng không phải lo lắng về bảo mật - một tuyên bố đã chứng minh là mang tính tiên tri một cách trớ trêu.
Sau khi các nhà nghiên cứu đã liên lạc được với các liên hệ thích hợp thông qua nhiều kênh khác nhau, cả Paradox.ai và McDonald's đều phản ứng nhanh chóng. Thông tin đăng nhập mặc định đã bị vô hiệu hóa trong vòng vài giờ, và công ty xác nhận tất cả các vấn đề đã được giải quyết trong khoảng 30 giờ kể từ báo cáo ban đầu.
Mặc dù phản ứng nhanh chóng đáng khen ngợi, sự cố này đặt ra những câu hỏi nghiêm trọng về cách những lỗi bảo mật cơ bản như vậy có thể tồn tại trong một hệ thống xử lý thông tin cá nhân của hàng triệu người. Việc sử dụng mật khẩu mặc định trong các hệ thống sản xuất đại diện cho một thất bại cơ bản của các thực hành bảo mật mà không bao giờ nên xảy ra trong phát triển phần mềm hiện đại.
Vụ rò rỉ này là lời nhắc nhở nghiêm khắc rằng ngay cả những sơ suất bảo mật cơ bản nhất cũng có thể có hậu quả khổng lồ khi chúng xảy ra trong các hệ thống xử lý dữ liệu cá nhân nhạy cảm ở quy mô lớn.
Tham khảo: Would you like an IDOR with that? Leaking 64 million McDonald's job applications