Chez la chaîne de restauration rapide McDonald’s, l’hygiène des mots de passe laisse à désirer. Une plateforme de recrutement contenant les données de millions de candidats était (non) protégée par ‘123456’.
‘123456’ est, selon les classements, le mot de passe le plus utilisé. Si un particulier l’utilise pour sécuriser son compte e-mail, c’est déjà problématique, mais on pourrait s’attendre à mieux de la part d’une entreprise qui vaut des milliards. Le géant de la restauration rapide McDonald’s n’a visiblement pas encore compris les règles pour un mot de passe fort.
Deux pirates éthiques ont découvert par hasard qu’une plateforme de recrutement de McDonald’s contenant les données de 64 millions de candidats était ridiculement mal sécurisée. En devinant au hasard ‘123456’ comme mot de passe, ils ont pu se connecter et consulter les données personnelles sans vérification supplémentaire. Heureusement, ils ont partagé leurs découvertes avec McDonald’s avant que des pirates malveillants ne les découvrent.
123456
La fuite de données potentielle se trouvait dans McHire, une plateforme alimentée par l’IA où les gens peuvent postuler pour un emploi chez McDonald « s. Les candidats discutent avec un bot nommé Olivia, qui recueille notamment les coordonnées et les préférences de quarts de travail. Environ 90 pour cent des restaurants McDonald » s utiliseraient cette plateforme.
Les pirates éthiques ont décidé de tester la plateforme et ont conclu qu’il n’était pas difficile d’obtenir un accès non autorisé. Le nom d’utilisateur et le mot de passe étaient tous deux ‘123456’. Ce n’était pas la seule erreur de sécurité commise par McDonald’s.
Une API interne permettant de rechercher dans la base de données s’est également révélée mal sécurisée. Ainsi, toute personne ayant accès à un compte McHire pouvait facilement accéder aux données de millions d’autres candidats.
En manipulant un simple ID incrémentiel dans l’API, il était possible de consulter les noms, adresses, numéros de téléphone et adresses e-mail des candidats. Des jetons permettant de se connecter en tant que candidat aléatoire étaient également disponibles, y compris l’accès à leur historique de conversation.
Fuite de données évitée
Les chercheurs ont partagé leurs découvertes avec McDonald’s et Paradox.ai, la société qui a conçu la plateforme. Les deux entreprises ont effectué les ajustements nécessaires et Paradox a promis des contrôles internes supplémentaires. McDonald’s n’a pas précisé d’autres mesures supplémentaires.
Bien que cette fuite de données ait été évitée, l’incident soulève des questions sur la rigueur avec laquelle les informations personnelles sont traitées.