นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์ Ian Carroll และ Sam Curry เปิดเผยช่องโหว่ในระบบ McHire แอปพลิเคชัน job chatbot ของ McDonald’s โดยระบุว่า admin panel ของ ChatBot ที่เชื่อมโยงกับบัญชีแฟรนไชส์ทดสอบนั้นสามารถเข้าถึงได้ง่าย เนื่องจากมีการตั้งค่าชื่อผู้ใช้ และรหัสผ่านเป็น "123456" ทำให้ข้อมูลจากใบสมัครงานกว่า 64 ล้านรายการทั่วสหรัฐอเมริกามีความเสี่ยงต่อการรั่วไหล
McHire ซึ่งพัฒนาโดย Paradox.ai และถูกใช้งานโดยแฟรนไชส์ McDonald’s ประมาณ 90% ทั่วสหรัฐฯ เปิดรับใบสมัครงานผ่าน chatbot ที่ชื่อว่า Olivia โดยผู้สมัครจะต้องกรอกข้อมูลส่วนตัว เช่น ชื่อ, อีเมล, เบอร์โทรศัพท์, ที่อยู่ และช่วงเวลาที่พร้อมทำงาน รวมถึงทำแบบทดสอบบุคลิกภาพซึ่งเป็นส่วนหนึ่งของขั้นตอนการสมัคร
เมื่อสามารถเข้าสู่ระบบได้แล้ว นักวิจัยจึงทดลองยื่นใบสมัครงานไปยังบัญชีแฟรนไชส์ทดสอบ เพื่อดูว่าแต่ละขั้นตอนของระบบทำงานอย่างไร
ในระหว่างการทดสอบ นักวิจัยได้สังเกตเห็นว่าระบบได้ส่ง HTTP request ไปยัง API endpoint ที่ชื่อว่า `/api/lead/cem-xhr` ซึ่งใช้พารามิเตอร์ `lead_id` โดยมีค่าเป็น `64,185,742`
นักวิจัยค้นพบว่าด้วยการปรับเปลี่ยนค่าพารามิเตอร์ `lead_id` เล็กน้อย ก็สามารถเข้าถึงบันทึกการสนทนาทั้งหมด, session token และข้อมูลส่วนบุคคลของผู้สมัครงานจริงที่เคยยื่นใบสมัครผ่าน McHire ได้
ช่องโหว่ลักษณะนี้เรียกว่า IDOR (Insecure Direct Object Reference) ซึ่งเกิดขึ้นเมื่อแอปพลิเคชันเปิดเผย object identifiers ภายใน เช่น record numbers โดยไม่ตรวจสอบอย่างถูกต้องว่าผู้ใช้นั้นมีสิทธิ์ในการเข้าถึงข้อมูลเหล่านั้นหรือไม่
Carroll อธิบายว่าในการตรวจสอบระบบแบบรวดเร็วเพียงไม่กี่ชั่วโมง พวกเขาพบช่องโหว่สำคัญสองรายการ ได้แก่ อินเทอร์เฟซผู้ดูแลระบบของ McHire ที่ยังใช้ข้อมูลล็อกอินเริ่มต้นคือ 123456:123456 และช่องโหว่ IDOR บน API ภายใน ซึ่งเปิดให้เข้าถึงข้อมูลผู้ติดต่อ และบทสนทนาใด ๆ ได้
ช่องโหว่ทั้งสองรายการทำให้ผู้ที่มีบัญชี McHire และเข้าถึงกล่องข้อความได้ สามารถดึงข้อมูลผู้สมัครกว่า 64 ล้านราย เพียงแค่เปลี่ยนค่า lead_id เนื่องจาก API ไม่มีการตรวจสอบว่าผู้ใช้มีสิทธิ์เข้าถึงข้อมูลดังกล่าวหรือไม่
ปัญหานี้ถูกรายงานไปยัง Paradox.ai และ McDonald’s เมื่อวันที่ 30 มิถุนายน 2025
McDonald’s รับทราบรายงานภายในเวลาเพียงหนึ่งชั่วโมง และหลังจากนั้นไม่นานก็ได้ปิดการใช้งานบัญชีผู้ดูแลระบบที่ใช้ข้อมูลเข้าสู่ระบบแบบค่าเริ่มต้น
McDonald’s แสดงความไม่พอใจอย่างชัดเจนต่อช่องโหว่ที่เกิดจากผู้ให้บริการภายนอกอย่าง Paradox.ai โดย McDonald’s ให้ข้อมูลกับ Wired ในนามของบริษัทเพื่อตอบสนองต่อรายงานการวิจัยครั้งนี้ โดยระบุว่า “เรารู้สึกผิดหวังกับช่องโหว่ที่ไม่อาจยอมรับได้นี้ และทันทีที่ได้รับแจ้ง เราได้สั่งให้ Paradox.ai ดำเนินการแก้ไขโดยทันที ซึ่งปัญหาก็ได้รับการแก้ไขในวันเดียวกับที่มีการรายงานเข้ามา”
Paradox ได้เผยแพร่แพตช์สำหรับช่องโหว่ IDOR และยืนยันว่าช่องโหว่ดังกล่าวได้รับการแก้ไขแล้ว ในขณะเดียวกัน บริษัทได้เริ่มตรวจสอบระบบอย่างละเอียดเพื่อป้องกันปัญหาที่คล้ายกันไม่ให้เกิดขึ้นอีกในอนาคต
Paradox ให้ข้อมูลกับ BleepingComputer เพิ่มเติมว่า ข้อมูลที่อาจถูกเปิดเผยจากช่องโหว่นี้ ยังรวมไปถึงการโต้ตอบของผู้ใช้กับแชทบอท เช่น การคลิกปุ่มต่าง ๆ แม้ว่าผู้ใช้จะยังไม่ได้กรอกข้อมูลส่วนตัวใด ๆ ก็ตาม
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.