เมื่อ 30 มิถุนายน 2025 นักวิจัยด้านความปลอดภัย Ian Carroll และ Sam Curry ตรวจเจอข้อมูลล็อกอินในระบบหลังบ้านของแชตบอทสมัครงาน “Olivia” (ผ่านเว็บไซต์ McHire.com) ที่ใช้โดย McDonald’s และพัฒนาโดยบริษัท Paradox.ai
ล็อกอินเป็น “username: 123456” และ “password: 123456” ซึ่งเป็นรหัสง่าย ๆ ที่ยังไม่ได้เปลี่ยน
🔓 วิธีที่นักวิจัยเข้าถึงข้อมูล
- ล็อกอินสำเร็จผ่านหน้าจอ admin ด้วยรหัส “123456/123456” ภายในไม่กี่นาที
- พบช่องโหว่ “IDOR” ใน API — การเพิ่มเลข ID ของแอพพลิเคชัน (lead_id) ทำให้เข้าถึงข้อมูลของผู้สมัครอื่น ๆ ได้โดยไม่ตรวจสอบสิทธิ
- จึงเข้าถึงข้อมูลผู้สมัครได้มากถึง ~64 ล้านรายการ รวมรายชื่อ, อีเมล, เบอร์โทร, ประวัติการสมัคร, ที่อยู่ IP ฯลฯ
🌐 ข้อมูลที่ถูกเปิดเผย
รายการสมัครงาน (ไม่ใช่ผู้สมัคร 64 ล้านคน อาจมีซ้ำ)
ข้อมูลส่วนตัว: ชื่อ, ที่อยู่, เบอร์โทร, อีเมล, IP, ประวัติงาน, คำตอบ personality test และการโต้ตอบทั้งหมดกับแชตบอท Olivia
ไม่มีข้อมูลละเอียดอย่างเลขบัตรประชาชน หรือข้อมูลทางการเงิน
🚨 ความเสี่ยง
แม้ข้อมูลจะไม่ร้ายแรงระดับข้อมูลทางการเงิน แต่ก็เพียงพอให้มิจฉาชีพสร้าง phishing attacks แบบเจาะจงกลุ่มผู้สมัครงาน McDonald’s ได้ง่าย
อาจนำไปสู่การขโมยอัตลักษณ์, ซอฟต์แวร์มุ่งร้าย หรือโจรกรรมทางการเงินในระดับต่อไป
🛠 การแก้ไขและตอบรับ
นักวิจัยแจ้งช่องโหว่ให้ Paradox.ai และ McDonald’s ทราบทันทีภายในวันที่พบ (30 มิ.ย.)
รหัส default และช่องโหว่ใน API ถูกปิดแก้ไขภายใน วันนั้นทันที
Paradox.ai รับผิดชอบเต็มที่ เปิดตัว Bug Bounty Program เพื่อรับรายงานช่องโหว่เพิ่มเติม
McDonald’s แสดงความผิดหวัง ยืนยันจะควบคุมมาตรการความปลอดภัยของ third-party ให้เข้มงวดขึ้น
About the Author
