Logo

Sélectionner la langue

French

Down Icon

Sélectionnez un pays

Turkey

Down Icon

Un géant de l'agroalimentaire piraté en raison de la simplicité de son mot de passe ! Une liste de 64 millions de personnes a fuité.

Un géant de l'agroalimentaire piraté en raison de la simplicité de son mot de passe ! Une liste de 64 millions de personnes a fuité.

La célèbre chaîne de restauration rapide McDonald's fait l'actualité suite à l'un de ses plus gros scandales de sécurité numérique à ce jour. Il a été révélé que les panels de direction de McDonald's, via son système de recrutement McHire , n'étaient accessibles qu'avec un simple mot de passe comme « 123456 ». Cette vulnérabilité a exposé les données personnelles de plus de 64 millions de candidats dans le monde.

GRAVE VULNÉRABILITÉ DANS LE SYSTÈME MCHIRE

McHire, utilisé par 90 % des franchisés McDonald's, est un système développé par Paradox.ai qui collecte les candidatures grâce à Olivia, une assistante dotée d'une intelligence artificielle. La plateforme enregistre les coordonnées des utilisateurs, leurs préférences de service et leurs réponses aux tests de personnalité.

Les chercheurs ont indiqué avoir pu accéder au panneau d'administration du système après seulement quelques tentatives. Ils ont découvert qu'en saisissant une combinaison courante comme « 123456 » dans les champs nom d'utilisateur et mot de passe, ils accédaient directement au panneau via le lien « Membres de l'équipe Paradox » .

LE MOT DE PASSE N'ÉTAIT PAS LE SEUL PROBLÈME : IL N'Y AVAIT PAS DE VÉRIFICATION D'IDENTITÉ

La véritable faille de sécurité résidait cependant dans une API exécutée sur le backend du système « lead_id » . Cette API, utilisée par les développeurs lors de leurs tests internes, exposait les données des utilisateurs sans aucun mécanisme d'authentification. Cette vulnérabilité permettait aux utilisateurs ayant déjà postulé chez McDonald's de :

Nom, prénom, numéro de téléphone, e-mail, adresse

Informations sur le processus de candidature et réponses aux tests de personnalité

Jetons de vérification spécifiques à l'utilisateur

Historique des discussions et tous les messages du système

Des données telles qu'elles étaient accessibles.

UNE FUITE GÉANTE DE 64 MILLIONS DE PERSONNES

Selon les chercheurs, cette vulnérabilité affectait plus de 64 millions d'applications McDonald's dans le monde. Les données divulguées étaient apparemment suffisamment volumineuses pour permettre aux utilisateurs d'accéder au système en leur nom.

PARADOX.AI : OUVERT FERMÉ, ENQUÊTE DÉMARRÉE

Les chercheurs ayant constaté la situation ont tenté de contacter Paradox.ai. Cependant, la page de sécurité officielle de l'entreprise ne proposait aucun canal de signalement ouvert. L'équipe a contacté des adresses e-mail aléatoires pour signaler l'incident. Après avoir finalement contacté les bonnes personnes, les responsables de Paradox.ai ont réagi en annonçant que la vulnérabilité avait été corrigée et qu'une analyse complète du système était en cours.

SÖZCÜ

SÖZCÜ

Nouvelles similaires

Toutes les actualités
Animated ArrowAnimated ArrowAnimated Arrow
Une carte graphique de 7 kilos sera vendue pour 20 millions de lires.
SÖZCÜ

Une carte graphique de 7 kilos sera vendue pour 20 millions de lires.

La demande du directeur du département de l'urbanisme et du développement de la municipalité métropolitaine d'Istanbul, Ramazan Gülten, d'assister à l'accouchement a été rejetée.
Tele1

La demande du directeur du département de l'urbanisme et du développement de la municipalité métropolitaine d'Istanbul, Ramazan Gülten, d'assister à l'accouchement a été rejetée.

Un jour triste pour le CHP
Tele1

Un jour triste pour le CHP

SOLOTÜRK volera dans le ciel de la RTCN
aeronews24

SOLOTÜRK volera dans le ciel de la RTCN

Un terrible accident a coûté la vie à un policier
Tele1

Un terrible accident a coûté la vie à un policier