McHire est la plateforme de recrutement automatisée utilisée par plus de 90 % des franchises McDonald’s. Propulsée par un chatbot nommé Olivia, développé par la société Paradox.ai, elle collecte les données personnelles des candidats, leurs disponibilités et les fait passer par un test de personnalité. En enquêtant sur les dysfonctionnements rapportés sur Reddit, les chercheurs Ian Carroll et Sam Curry ont identifié deux failles majeures : l’interface d’administration acceptait les identifiants par défaut 123456:123456, et une API interne vulnérable à une faille IDOR permettait d’accéder aux données de tous les candidats.
Le processus de candidature démarre simplement via jobs.mchire.com, où Olivia guide le candidat pour remplir son dossier. Très rapidement, l’utilisateur est dirigé vers un test de personnalité basé sur Traitify, demandant par exemple si l’on “aime les heures supplémentaires” (réponse attendue : “oui”). Les chercheurs notent le caractère orienté et quelque peu oppressant de ce test. Bloqués à l’étape de validation humaine, ils tentent d’interagir plus profondément avec le chatbot, sans succès.
En testant par curiosité l’accès réservé aux membres de l’équipe Paradox sur le site McHire, les chercheurs ont tenté de se connecter avec des identifiants simples (123456). À leur grande surprise, cela a fonctionné. Ils avaient désormais les droits d’administrateur sur un restaurant test, ce qui leur a permis d’analyser le fonctionnement du système, mais pas encore d’accéder à des données confidentielles de véritables candidats.
C’est en étudiant les APIs disponibles pour les recruteurs qu’ils ont identifié une requête clé : PUT /api/lead/cem-xhr. Ce point de terminaison permettait de consulter les candidatures en fonction d’un identifiant numérique (lead_id). En décrémentant cet identifiant, les chercheurs ont pu accéder à des millions de dossiers candidats, comprenant noms, adresses, emails, numéros de téléphone, préférences de travail, ainsi que des jetons d’authentification permettant de se faire passer pour les candidats sur l’interface publique. Une fuite de données à très grande échelle.
Alertés, les chercheurs ont tenté de contacter Paradox.ai, malgré l’absence d’un canal de divulgation clair. Après plusieurs tentatives, ils ont réussi à joindre les bonnes personnes. Paradox.ai a alors rapidement désactivé les identifiants vulnérables, corrigé les failles, et assuré que la sécurité des données candidates et clients était désormais leur priorité. McDonald’s a également été informé et a coopéré activement. Cet incident met une fois de plus en lumière les risques liés à la négligence des bonnes pratiques de sécurité, même chez des acteurs majeurs.
🔗 Source originale : https://ian.sh/mcdonalds
🖴 Archive : https://web.archive.org/web/20250710090202/https://ian.sh/mcdonalds