맥도날드 관리자 비번 '123456'으로 6,400만명 개인정보 훔쳐보기

이번에 맥도날드 채용 관리자 아이디 중 하나가 털렸음.

아이디 123456, 비번 123456.

일단 미국 맥도날드는 McHire라는 AI 채용 플랫폼을 사용 중임.

스타벅스가 ‘파트너’라는 이름으로 직원을 채용하듯이

맥도날드는 ‘크루’라고 칭하는 직원을 모집함.

한국 맥도날드는 일반적으로 지원서를 작성하고 아르바이트, 정규직 등을 지원하지만

미국 맥도날드에서는 지원서를 작성하기 이전에 ‘올리비아’라는 맥도날드 AI 챗봇하고 상담부터 시작함.

일단 올리비아는 성, 이름, 전화번호 등을 물어보는데,

존재하지도 않는 사람을 만들어내도 상관없었음.

방장마냥 AI 못살게 굴면

얘가 언어 능력을 상실하고 ‘:)’ 하고 실실 웃는 등 차짬행동을 함.

이걸 보고 몇몇 화이트 해커(Sam Curry, Ian Carroll)가 한번 찔러보기로 작정

상담이 끝나면, 성격 검사가 나오는데

파란 스머프가 “초과 근무 어때?” 이런 거 물어봄.

이때 선택지는 ‘Me/Not me’ 두 개임. 

질문이 좀 그렇긴 하지만 이건 해킹 취약성이랑 관련 없었고,

이상한 검사를 끝내고 나서는 지원서 작성하고 일반적인 과정.

뭐 딱히 얻을 게 없었음.

위에 화이트 해커들이 이번에는 그냥 McHire 로그인 페이지에서 요상한 점을 찾아보기로 함

그래서 그냥 간단히 아이디에 admin(관리자), 비번에 admin 같은 쉬운 거로 로그인 시도.

당연히 아이디 123456, 비번 123456도 해봄

어라 뚫렸네?

들어가보니 안에 지원자로 보이는 정보들이 보였지만,

이거는 그냥 시험용 계정이었던 거 같음.

이름도 Tester Company임

그치만 시험용 계정이었다고 해도,

McHire 관리자가 보는 정보의 수준을 파악할 정도는 됐음

지원서, AI랑 대화한 내용, 전화번호, 주소, 이메일 정도 볼 수 있는 거 같음.

그리고 각 매장으로 지원을 하다보니,

각 매장에 지원한 사람들 정보만 알 수 있는듯함.

이거면 뭐 가짜 계정 털린거고, 존재하지도 않는 매장 매니저 계정이니 괜찮을 수 있을 거 같음

여기서 화이트 해커 아재들은 웹사이트가 서버로 보내는 정보를 뜯어보기로 함.

여기 보니 “lead_id” : 64185740로 시작되는 요청이 있음.

대충보니 64185740로 번호가 붙은 정보를 보내주는 거 같음.

해커 아재들이 여기 숫자를 대충 넣어봄.

그러자 맥도날드 어느 지점에 지원했던 실제 사람의 지원서가 나옴.

이름, 이메일, 전화번호, 집주소 다 나옴.

번호를 바꾸니 다른 사람 정보가 나왔음.

“뭐야 이거 한 사람에 하나씩 번호 고정이네?”

“그럼 약 6,400만명이야?”

근데 뭐 주민번호도 아니고, 그렇게 민감정보는 아니지 않아?

할 수도 있는데

<공기총 맞은 전화번호부>

근데 피싱할 수 있는 최소한의 정보가 담긴 전화번호부가 나온 거임

이 페이지가 2019년부터 있었으니, 약 6-7년의 최신 전화번호부인 거임

심지어 직업을 원하는 사람들로 가득찬 전화번호부.

대충 맥도날드 사칭하면서

맥도날드 직원이라면 급여 문제가 있으니 은행 정보 달라고 꼬드기면 넘어갈 수도 있는거잖슴.

이거 보고 해커 아재들이 이 페이지 AI를 만들었던 Paradox.ai에 문의 넣어서 현재는 수정한듯함.

출처1: 

출처2: https://www.wired.com/story/mcdonalds-ai-hiring-chat-bot-paradoxai/    

전화번호부: https://www.chosun.com/site/data/html_dir/2015/08/18/2015081804056.html    

*틀린 정보 태클 환영