麥當勞徵才系統外洩

你去麥當勞點餐，除了薯條跟漢堡，店員多給你一個「6400 萬筆個資外洩」你要嗎？

資安研究員 Ian Carroll 最近就發現，想在麥當勞的徵才系統 McHire 上拿到這個「隱藏菜單」，居然簡單到不行。

故事是這樣的，這個 McHire 平台是給麥當勞加盟主用的招募系統，有個聊天機器人會跟你對話，蒐集你的個資跟履歷。而研究員發現，這個系統的管理後台有個給開發商 Paradox 用的登入頁面。

他看到登入頁面後就隨手輸入了 123456 當帳號密碼，結果就進去了 😂

雖然聽起來很扯，但到這邊其實影響還好，因為他登進去的是一個「測試用」的餐廳帳號，裡面沒什麼真實資料。很多人到這一步，可能覺得沒啥搞頭就放棄了。但厲害的人就是會繼續往下挖。他決定自己也到這個測試餐廳應徵一份工作，想從內部看看整個流程是怎麼運作的。

就在他查看自己應徵進度的那一刻，他發現了一個有趣的 API：/api/lead/cem-xhr。這個 API 在抓應徵者資料時，會帶一個 lead_id 的參數，而這 ID 是個數字。

既然是數字，下一步很直覺地把它 +1 -1，然後一個陌生人的個資就出現了，包括姓名、電話、Email、地址等等。

這就是經典的 IDOR（不安全直接物件參考）漏洞，server 傻傻地相信你給的 ID，你給哪個就撈哪個的資料給你看，權限沒有檢查好。

超常見的弱密碼加上簡單的 IDOR，真是樸實無華的漏洞，但因為是麥當勞所以影響力驚人。

備註：6400 萬這個數字從原文來的，應該是 ID 是這個數字所以得出這結論，但不排除中間有測試資料或是非嚴格遞增，實際上應該不太可能這麼多，而且沒辦法真的估算