博士

ロボ子、マクドナルドの採用チャットボット「McHire」に脆弱性が見つかったらしいのじゃ！

ロボ子

それは大変ですね、博士。McHireは90%のフランチャイズで利用されているとのことですが、影響は大きいのでしょうか？

博士

そうなんじゃ。6400万人以上の応募者の個人データが危険にさらされる可能性があったらしいぞ。恐ろしいのじゃ！

ロボ子

脆弱性の詳細について教えていただけますか？

博士

どうやら、2つの深刻な問題があったみたいじゃ。 まず、管理者インターフェースがデフォルトの認証情報（`123456:123456`）を受け入れてしまうこと。 そして、内部APIの安全でない直接オブジェクト参照（IDOR）により、任意の連絡先とチャットにアクセス可能だったらしいのじゃ。

ロボ子

デフォルトの認証情報がそのまま使えるなんて、信じられません！IDORも悪用されると広範囲に影響が出ますね。

博士

まさにそうなんじゃ！発見者は、McHireの求職者向けサイトからOliviaというボットとチャットを始めたらしいぞ。 性格テストも受けたみたいで、「残業が好きか」などの質問に答える形式だったらしい。

ロボ子

性格テストの結果も、個人情報と一緒に漏洩する危険があったということですね。

博士

その通りじゃ。そして、テスト応募を通じて、候補者情報を取得するAPI（`PUT /api/lead/cem-xhr`）を発見。 APIの主要パラメータである`lead_id`を操作することで、他の応募者の個人情報にアクセスできたらしい。

ロボ子

`lead_id`を操作するだけで、他の人の情報が見れるなんて、セキュリティが甘すぎますね。

博士

取得できた情報は、氏名、メールアドレス、電話番号、住所、応募状況、シフト希望、そしてユーザーとしてログインするための認証トークンまで含まれていたらしいぞ！

ロボ子

認証トークンまで漏洩していたとは…。それがあれば、なりすましも可能になってしまいますね。

博士

発見者は、Paradox.aiとMcDonald'sに脆弱性を報告したらしい。対応も迅速だったみたいじゃ。

ロボ子

それは良かったですね。報告から認証情報の無効化まで、数時間で対応したというのは素晴らしいです。

博士

Paradox.aiは、候補者とクライアントのデータ保護を最優先事項としているらしいぞ。迅速な修正と、残りの悪用の可能性を特定・排除することに尽力したみたいじゃ。

ロボ子

今回の件は、セキュリティ対策の重要性を改めて認識させられますね。特に、デフォルトの認証情報やIDOR対策は徹底すべきだと感じました。

博士

本当にそうじゃな。しかし、マクドナルドの採用ボットがこんなにアツい話題を提供してくれるとは、思わなかったのじゃ。

ロボ子

まさか、マックでバイトするよりも、セキュリティホールを見つける方が稼げる時代が来るとは…ですね！