Depuis la nuit des temps, les experts en sécurité informatique demandent aux utilisateurs de ne pas utiliser de mots de passe trop faciles à deviner, du genre « 123456 ». Malheureusement, il en reste encore qui n’ont pas intégré ce conseil de bon sens, à l’image du bot qui a servi de recruteur pour McDonald’s. Résultat : les données de 64 millions de personnes ayant postulé pour un job ont été exposées.
Pour trier les postulants à un job, McDonald’s a mis en place sur son site de recrutement un chatbot baptisé « Olivia ». Le bot, propulsé par une IA développée par Paradox.ai, fait notamment passer des tests de personnalité et collecte les CV, les lettres de motivation ainsi que des informations de contact évidemment personnelles.
« 123456 » : le mot de passe qui valait 64 millions de CV
Le site dédié au recrutement, McHire.com, intègre un lien de connexion que deux chercheurs en sécurité, Ian Carroll et Sam Curry, ont très facilement contourné. La première tentative a échoué (avec « admin » comme identifiant et comme mot de passe), mais la seconde a été la bonne : il suffisait d’entrer « 123456 » dans les deux champs de texte…
Une fois connecté à la base de données du site, ils ont pu accéder aux informations collectées par la plateforme : noms, adresses emails, numéros de téléphone… En tout, les données de 64 millions de comptes ont été exposées ! Voler ces informations n’a l’air de rien, mais c’est de l’or pour des pirates mal intentionnées. Ces données peuvent en effet servir à des opérations de hameçonnage, pour soutirer aux victimes un accès à leur compte bancaire en se faisant passer pour McDonald’s, par exemple.
Paradox.ai, le prestataire de l’enseigne de restauration rapide, a rapidement corrigé la faille de sécurité dès que l’entreprise en a eu connaissance. A priori, aucune partie tierce n’a accédé à la base de données de McHire.com, à l’exception des chercheurs ce qui est un soulagement. Du côté de McDo, on se désole de la « vulnérabilité inacceptable » du fournisseur, en rappelant qu’elle a été corrigée le jour même de son signalement.
Que ce soit pour une entreprise ou un particulier, il faut absolument que les mots de passe soient complexes (évitez les « password », « iloveyou »…) et faire en sorte qu’ils soient uniques. Ne réutilisez pas les mêmes mots de passe d’un site à l’autre !
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Wired