นักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบช่องโหว่ร้ายแรงในแพลตฟอร์ม McHire ซึ่งเป็นระบบแชตบอทที่แมคโดนัลด์ใช้ในการรับสมัครพนักงานทั่วสหรัฐอเมริกา โดยช่องโหว่นี้ทำให้ข้อมูลการสนทนาและข้อมูลส่วนบุคคลจากใบสมัครงานกว่า 64 ล้านรายการเสี่ยงต่อการรั่วไหล โดยสาเหตุสำคัญมาจากการที่แผงควบคุมของระบบยังคงใช้ชื่อผู้ใช้และรหัสผ่านทดสอบที่อ่อนแอคือ “123456” ทั้งคู่
ช่องโหว่นี้ถูกค้นพบโดยนักวิจัย Ian Carroll และ Sam Curry ซึ่งทดสอบระบบด้วยการส่งใบสมัครทดลองเข้าไปยังแฟรนไชส์ตัวอย่าง และพบว่าสามารถเข้าถึงข้อมูลผู้อื่นได้ด้วยการเปลี่ยนแปลงหมายเลขรหัสของใบสมัครเพียงเล็กน้อย
ระบบ McHire ดำเนินงานโดยบริษัท Paradox.ai และถูกใช้โดยแฟรนไชส์แมคโดนัลด์ประมาณ 90% ในสหรัฐฯ โดยแชตบอทที่มีชื่อว่า “Olivia” จะรับข้อมูลสำคัญจากผู้สมัคร เช่น ชื่อ อีเมล เบอร์โทร ที่อยู่ และตารางเวลาที่พร้อมทำงาน พร้อมทั้งแบบทดสอบบุคลิกภาพ อย่างไรก็ตาม ระบบ API ที่ใช้ประมวลผลข้อมูลเหล่านี้กลับมีช่องโหว่แบบ IDOR (Insecure Direct Object Reference) ซึ่งเปิดโอกาสให้ผู้ไม่หวังดีเข้าถึงข้อมูลของผู้อื่นเพียงแค่เปลี่ยนหมายเลข ID ในคำร้องขอข้อมูล (HTTP Request) โดยไม่มีการตรวจสอบสิทธิ์เข้าถึงที่เหมาะสม
หลังการรายงานช่องโหว่ไปยังแมคโดนัลด์ บริษัทได้ตอบรับภายในหนึ่งชั่วโมง และรีบปิดการใช้งานบัญชีผู้ดูแลระบบที่ใช้รหัสผ่านเริ่มต้นดังกล่าวทันที พร้อมออกแถลงการณ์ตำหนิความผิดพลาดจากผู้ให้บริการภายนอกอย่าง Paradox.ai ว่า “เป็นเรื่องที่ยอมรับไม่ได้” ซึ่งทาง Paradox ได้ดำเนินการแก้ไขช่องโหว่ IDOR ทันทีในวันเดียวกัน และยืนยันว่าได้เริ่มการทบทวนระบบภายในทั้งหมดเพื่อป้องกันเหตุการณ์ลักษณะนี้ในอนาคต ทั้งนี้ Paradox ระบุเพิ่มเติมว่า บางการโต้ตอบกับแชตบอทที่ถูกเปิดเผยนั้นอาจเป็นเพียงคลิกปุ่มโดยไม่ได้กรอกข้อมูลส่วนตัวใด ๆ แต่ก็ยังถือเป็นความเสี่ยงที่ไม่ควรมองข้ามในระบบรับสมัครงานยุคดิจิทัล
ที่มา : thaicert / วันที่เผยแพร่ 14 กรกฎาคม 2568
Link : https://www.thaicert.or.th/2025/07/14/ข้อมูลการรับสมัครงานขอ/
