Di Amerika Syarikat, francais makanan segera McDonald’s menggunakan chat bot yang dinamakan McHire untuk mengambil butiran sesiapa yang mahu bekerja di restoran-restoran berdekatan mereka, dengan mengambil butiran peribadi, dan menghantarnya dengan cepat kepada kedai-kedai berdekatan dengan mereka yang sedang mencari pekerja.
Baru-baru ini, dua penyelidik sekuriti, Ian Carroll dan Sam Curry telah menemui beberapa isu sekuriti berkenaan chat bot tersebut, yang dibangunkan oleh syarikat pembangun perkhidmatan AI, Paradox.ai. Laman log masuk kepada chat bot tersebut telah ditemui dengan mudah, tetapi walaupun log masuk untuk pemilik restoran McDonald’s menggunakan sistem Secure Sign On (SSO), terdapat juga laman log masuk untuk staf Paradox.ai yang tidak memerlukan pengesahan tersebut.
Pertama, mereka mendapati bahawa kata laluan yang digunakan untuk mengakses sistem McHire tidak selamat langsung. Pihak pembangun Paradox.ai dilihat menggunakan nama pengguna dan kata laluan “123456”. Menariknya, walaupun mereka boleh mengakses sistem latar bot tersebut, data yang terkandung didalamnya merupakan data untuk sebuah restoran palsu, yang mengandungi butiran para pekerja Paradox.ai yang dilihat sebagai palsu.
Apa yang menarik di sini ialah mereka menemui bahawa chat bot ini menggunakan panggilan API untuk mendapatkan ID pengguna untuk memperlihatkan perbualan sebelum ini. Ian dan Sam menggunakan API ini untuk menggunakan teknik IDOR (insecure direct object reference) untuk mendapatkan data daripada ID yang lain, dan mendapati bahawa mereka boleh melihat butiran-butiran pengguna yang lain, termasuklah:
- Nama, alamat e-mel, nombor telefon, alamat rumah
- Lokasi bekerja, dan syif yang mahu diambil
- Auth token yang membolehkan “penggodam” untuk melog masuk dalam akaun pengguna, dan mengakses butiran perbualan dengan bot
Kerentanan sekuriti ini telah diberitahu kepada pihak Paradox.ai, dan dilaporkan telah diperbaiki hanya sehari selepas mereka mendapat tahu tentang isu tersebut.
