보안 연구원인 이안 캐롤(Ian Carroll)과 샘 커리(Sam Curry)는 맥도날드를 위해 Paradox.ai가 개발한 맥하이어(McHire) 챗봇에서 심각한 취약점을 발견하였으며, 이로 인해 약 6,400만 명의 구직자의 개인 데이터가 유출되었습니다. 초기 유출은 Paradox 팀원들이 사용한 약한 비밀번호 '123456'로 인해 발생하였으며, 이는 비밀번호 보안 관행의 지속적인 문제를 강조합니다.
시스템에 접근한 연구원들은 두 번째 취약점인 불안전한 직접 객체 참조(IDOR) 결함을 발견했습니다. 이 결함은 그들이 구직자들의 모든 채팅 상호작용에서 민감한 정보를 접근할 수 있게 하였으며, 여기에는 이름, 이메일 주소, 전화번호, 주소, 지원 상태, 그리고 소비자 인터페이스에 로그인할 수 있는 인증 토큰이 포함되어 있어 원본 채팅 메시지 및 기타 개인 데이터가 노출되었습니다.
Paradox.ai는 이전에 맥도날드의 90% 프랜차이즈가 채용을 위해 맥하이어 시스템을 사용한다고 주장하며, 이 기술에 대한 광범위한 의존성을 나타냈습니다. 이러한 취약점이 공개된 후, Paradox는 하루 만에 문제를 해결하여 향후 보안 기준 개선에 대한 기대를 높였습니다.
* 이 글은
tomshardware.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.