Une faille de sécurité dans MCHIRE a permis d’accéder aux données sensibles des candidats via des informations d’administration d’administration par défaut et une API vulnérable. Le problème a été corrigé rapidement après la divulgation.
Une surveillance de la sécurité dans la plate-forme d’embauche de McDonald’s «Mchire» a été retrouvée exposant des données de demandeurs sensibles appartenant à 64 millions de demandeurs d’emploi.
Découverte fin juin 2025 par les chercheurs en sécurité Ian Carroll et Sam Curry, le problème était une connexion administrative par défaut et une référence d’objet direct (IDOR) insécurisée dans une API interne qui permettait l’accès aux historiques de chat des candidats avec « Olivia », le bot recruteur automatisé de MCHIRE.
« La violation de McDonald’s confirme que même les systèmes d’IA sophistiqués peuvent être compromis par les surveillants de la sécurité élémentaire », a déclaré Aditi Gupta, directrice principale de Consulting Professional Services Consulting chez Black Duck. «La ruée vers le déploiement de nouvelles technologies ne doit pas compromettre les principes de sécurité de base. Les organisations doivent hiérarchiser les mesures de sécurité fondamentales pour garantir une confiance sans compromis dans leur logiciel, en particulier pour le monde de plus en plus réglementé et alimenté par l’IA.»
Les défauts, découverts lors d’une revue de sécurité après les plaintes de Reddit concernant les «réponses insensés» du bot, ont été rapidement résolus par McDonald’s et Paradox.ai (créateur d’Olivia) lors de la divulgation.
Les connexions par défaut et l’IDOR mènent à des fuites massives
Selon un article de blog de Carroll, l’interface administrative de MCHIRE pour les franchisés de restauration a accepté le nom d’utilisateur par défaut «123456» et le mot de passe «123456». Connexion avec ces informations d’identification a immédiatement accordé un accès, non seulement à un environnement de test, mais à des tableaux de bord administratifs en direct.
« Bien que l’application essaie de forcer la connexion unique (SSO) pour McDonald’s, il existe un lien plus petit pour les« membres de l’équipe paradoxe »qui ont attiré notre attention», a déclaré Carroll. «Sans beaucoup de réflexion, nous sommes entrés« 123456 »comme mot de passe et avons été surpris de voir que nous étions immédiatement connectés!»
Une fois à l’intérieur, les chercheurs ont également découvert un point de terminaison API interne en utilisant un paramètre prévisible pour récupérer les données des candidats. En diminuant simplement la valeur d’identification, Caroll et Curry ont récupéré le candidat complet PII, y compris les transcriptions de chat, les coordonnées et les données de forme de travail. Cet IDOR Exploit a exposé non seulement les coordonnées, mais aussi les horodatages, les préférences de décalage, les résultats des tests de personnalité et même les jetons qui pourraient usurper l’identité des candidats sur MCHIRE.
« Cet incident est un excellent exemple de ce qui se passe lorsque les organisations déploient la technologie sans comprendre comment elle fonctionne ou comment elle peut être exploitée par les utilisateurs non fiables », a déclaré le PDG d’Eftère Evan Dornbush. «Avec des systèmes d’IA gérant des millions de points de données sensibles, les organisations doivent investir dans la compréhension et l’atténuation des menaces préégentes, ou ils se retrouveront en train de rattraper leur retard, avec la confiance de leurs clients sur la ligne.»
Les correctifs rapides ont sauvé la journée
Après la divulgation du 30 juin 2025, Paradox.ai et McDonald’s ont reconnu la vulnérabilité dans l’heure. Le 1er juillet, les informations d’identification par défaut ont été désactivées et le point final a été sécurisé. Paradox.ai s’est également engagé à effectuer d’autres audits de sécurité, a noté Carroll dans le blog.
« Même s’il n’y a aucune indication que les données ont encore été utilisées avec malveillance, l’échelle et la sensibilité de l’exposition (~ 64 millions de candidats) pourraient alimenter les campagnes ciblées de phishing, de smirs / vishing et même d’ingénierie sociale », a déclaré Randolf Barr, directeur de la sécurité de l’information chez Ceence Security. « Combiné avec des outils d’IA, les attaquants pourraient élaborer des menaces incroyablement personnalisées et convaincantes. »
Les tours de cybersécurité sont de plus en plus courants dans les environnements de recrutement, probablement en raison de l’accent mis sur la vitesse, l’automatisation et l’échelle au détriment de la sécurité. Plus tôt cette semaine, la plate-forme de suivi des candidats en ligne TalentHook a été trouvée Férant presque 26 millions de fichiers PII via un conteneur de stockage Blob Azure mal configuré.
L’informatique de la nécessité de faire entrer les flux de travail d’embauche dans la cybersécurité traditionnelle, Kobi Nissan, co-fondateur et PDG chez Mineos, a déclaré: «Tout système d’IA qui collecte ou traite les données personnelles doit être soumis à la même confidentialité, à la sécurité et aux contrôles d’accès que les systèmes commerciaux principaux.
