Faille énorme chez McDonald’s : 64 millions d’utilisateurs en danger à cause d’un mot de passe trop simple
Une opération de hacking a permis d’accéder aux informations sensibles de 64 millions de personnes qui postulaient chez McDonald’s… en tapant 123456.
Le 9 juillet, un duo de hackers a dévoilé une opération curieuse menée sur la plateforme de recrutement de McDonald’s. Se présentant comme des white hats, des « hackers éthiques », ils ont décidé de soumettre le site de recrutement, géré par une IA, à un test.
Et surprise : il ne s’est pas révélé si difficile d’accéder aux données de 64 millions de candidats ayant postulé chez McDonald’s. Il leur a simplement suffi d’essayer un mot de passe pour le compte administrateur : 123456.
À lire aussi
La plateforme de recrutement de McDonald’s présente « l’une des pires implémentations de sécurité » jamais vues
Sur le site McHire, qui gère 90 % des recrutements de la chaîne, les candidats sont guidés par Olivia. Elle ne fait pourtant pas partie du personnel des ressources humaines, mais incarne une forme d’assistance pilotée par IA.
Ce chatbot d’intelligence artificielle, de la société Paradox.ia, prend en charge toutes les candidatures et administre des tests de personnalité. Cela tout en conservant une vaste base de données personnelles sur les postulants.
À la suite d’une vague de réclamations sur Reddit concernant les difficultés rencontrées avec Olivia, deux hackers ont décidé de la mettre à l’épreuve. Ian Carroll et Sam Curry, déjà connus pour leurs tests de cybersécurité indépendants, ont révélé ce qu’ils décrivent comme « l’une des pires implémentations de sécurité que j’aie jamais vues… ».
Une faille dangereuse exploitée en 30 minutes
En manipulant leur conversation avec Olivia les hackers ont obtenu un accès à une interface d’administration. Si cela leur a déjà semblé trop facile à atteindre, le mot de passe retenu pour ce compte l’était encore plus. En effet, leur premier essai a suffi : 123456. Et le tour était joué.
« Alors, j’ai commencé à postuler pour un emploi. Au bout de 30 minutes, nous avions un accès complet à pratiquement toutes les candidatures jamais envoyées à McDonald’s, remontant à plusieurs années », raconte Ian Carroll.
Ainsi, les 64 millions d’utilisateurs ayant échangé avec Olivia disposaient d’une fiche contenant leurs informations personnelles exposées. Les données vulnérables incluaient leurs coordonnées (adresse, téléphone, etc.), l’analyse de leur comportement, ainsi que leurs disponibilités horaires. Des informations facilement accessibles, qui pourraient les rendre vulnérables à divers types d’escroqueries.
