보안 연구원인 이안 캐롤(Ian Carroll)과 샘 커리(Sam Curry)는 파라독스(Paradox)가 개발한 맥도날드의 McHire 봇에서 심각한 취약점을 발견하여 약 6400만 명의 구직자의 개인 정보가 유출될 수 있는 위험이 있음을 밝혔습니다. 연구원들은 파라독스 팀원이 시스템에 접근하기 위해 사용한 비밀번호가 '123456'임을 발견하며 보안 관행의 심각한 결함을 강조했습니다.
연구원들은 McHire 시스템 내의 테스트 레스토랑에 무단으로 접근하여 앱의 기능을 관찰할 수 있었습니다. 그러나 그들은 또한 McHire API에서 중요한 불안전 직접 객체 참조( insecure direct object reference, IDOR) 결함을 발견했습니다. 이 취약점은 구직자의 모든 채팅 상호작용에서 이름, 이메일 주소, 전화번호, 주소, 지원 상태 및 소비자 인터페이스에 로그인할 수 있는 인증 토큰을 포함한 민감한 정보에 접근할 수 있게 했으며, 이는 원본 채팅 메시지와 기타 개인 데이터를 노출시켰습니다.
파라독스는 이전에 맥도날드의 90% 프랜차이즈가 McHire를 채용에 사용한다고 주장했으며, 이는 데이터 유출의 잠재적 규모를 강조합니다. 연구원들이 경험한 약한 비밀번호의 문제는 사소했지만, 맥도날드의 2,130억 달러 시장 가치와 2020년 파라독스의 2억 달러 자금 조달을 고려할 때 McHire의 취약점이 미치는 영향은 광범위합니다. 다행히도, 이 취약점은 공개된 지 하루 만에 해결된 것으로 보고되어 향후 보안 기준 개선에 대한 기대를 높이고 있습니다.
* 이 글은
tomshardware.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.