安全专家伊恩・卡罗(Ian Carroll)近日披露一项惊人漏洞:麦当劳的全球招募网站McHire的后台管理系统,居然能用“123456”这种极其简单的密码登录,导致全球高达6,400万笔应征者个人信息可能外流。
整起事件起因于麦当劳集成在招聘系统中的AI聊天机器人“Olivia”。这款由Paradox.ai开发的AI招募助理,被卡罗发现会频繁给出不合逻辑的回答,于是他决定进一步探究。
他亲自通过McHire平台应征当地麦当劳职缺,并与Olivia互动,包括输入电子邮件、电话、可上班时段等数据,并进入性格测验阶段。不过在等待真人审查的空文件,他发现Olivia只会不断重复模板式对话,无法提供有效回应。
好奇之下,卡罗点进了McHire招募网站上的一个名为“Paradox Team Members”的管理者登录页面。他随意尝试输入账号与密码“123456”,竟然成功登录后台系统。
这组默认帐密疑似从未被重设或限制,导致后台数据毫无防护。登录后,他不仅能查看应征者与Olivia的完整对话记录,还能访问后端API(PUT/api/lead/cem-xhr),并直接以“lead_id”参数访问应征者资讯。
卡罗发现自己的对话ID是“64185742”,将数字递减后竟然能查阅其他应征者数据。换句话说,只要调整参数值,就能无限制查询其他人的姓名、电话、信箱、住址、想上班的时段,甚至连登录凭证(Token)也一览无遗。
根据卡罗推测估计,这个漏洞可能让多达6,400万笔全球应征者数据暴露于毫无保护的状态中。他在2025年6月30日通报麦当劳,40分钟后即收到Paradox.ai团队回复,并在2小时内关闭漏洞页面。隔日双方再次确认问题已获解决。
这起事件显示,即便是跨国企业如麦当劳,在外包招募平台与AI集成的背后,安全管控若疏忽,仍可能爆发严重的个人信息泄露风险。
