អ្នកស្រាវជ្រាវសន្តិសុខសាយប័របានរកឃើញភាពងាយរងគ្រោះនៅក្នុង McHire ដែលជា Chatbot Job Application Platform របស់ក្រុមហ៊ុន McDonald ដែលបានលាតត្រដាង Chats របស់កម្មវិធីការងារ (Job Applications) មិនតិចជាង ៦៤លាននៅទូទាំងសហរដ្ឋអាមេរិក។
បញ្ហានេះត្រូវបានរកឃើញដោយអ្នកស្រាវជ្រាវសន្តិសុខ Ian Carroll និង Sam Curry ដែលបានរកឃើញថា ChatBot’s Admin Panel បានប្រើប្រាស់សិទ្ធិផ្តាច់មុខសាកល្បងដែលត្រូវបានការពារដោយឈ្មោះ (Login Name) “123456” និងលេខសម្ងាត់ទន់ខ្សោយ “123456”។
McHire ដែលផ្តល់ថាមពលដោយ Paradox.ai និងបានប្រើដោយ McDonald’s Franchisees ប្រមាណជា ៩០% ដែលទទួលយកកម្មវិធី Job Application តាមរយៈ Chatbot ឈ្មោះ Olivia។ កម្មវិធី (Applications) អាចដាក់ (Submit) ឈ្មោះ អាសយដ្ឋានអ៊ីម៉ែល លេខទូរស័ព្ទ អាសយដ្ឋានផ្ទះ និងភាពដែលអាចរកបាន ថែមទាំងតម្រូវឱ្យធ្វើតេស្តបុគ្គលិកលក្ខណៈជាផ្នែកនៃដំណើរការដាក់ពាក្យសុំការងារ។ នៅពេល Log in អ្នកស្រាវជ្រាវបាន Submit កម្មវិធីការងារដើម្បីសាកល្បង Franchise មើលពីរបៀបដំណើរការការងារ។ នៅក្នុងអំឡុងពេលនៃការធ្វើតេស្តសាកល្បង ពួកគេបានកត់សម្គាល់ថា HTTP Requests ត្រូវបានផ្ញើទៅ API Endpoint នៅ /api/lead/cem-xhr ដែលប្រើប្រាស់ Parameter lead_id ស្ថិតនៅក្នុងដំណើរប្រតិបត្តិការរបស់ពួកគេ (their case) គឺ 64,185,742។ អ្នកស្រាវជ្រាវបានរកឃើញថា ការបង្កើន និងបន្ថយ Lead_id Parameter ពួកវាអាចលាតត្រដាង Chat Transcripts, Session Tokens និងទិន្នន័យផ្ទាល់ខ្លួនរបស់កម្មវិធី Real Job ដែលបានដាក់ពាក្យសុំការងារពិតដែលធ្លាប់អនុវត្តលើ McHire។ ប្រភេទនៃបញ្ហានេះត្រូវបានហៅថាជាភាពងាយរងគ្រោះ IDOR (Insecure Direct Object Reference) នៅពេលដែលកម្មវិធីលាតត្រដាងអត្តសញ្ញាណផ្ទៃក្នុង (Internal Object Identifiers) ដូចជាកំណត់ត្រាទិន្នន័យ (Record Numbers) ដោយគ្មានការបញ្ជាក់ថាតើអ្នកប្រើប្រាស់ពិតជាមានសិទ្ធិដើម្បីចូលប្រើទិន្នន័យឬអត់នោះទេ។
Carroll បានពន្យល់ថា នៅក្នុងអំឡុងនៃការពិនិត្យមើលសុវត្ថិភាពប៉ុន្មានម៉ោង គាត់បានកត់សម្គាល់ពីបញ្ហាចំនួន២គឺ McHire Administration Interface សម្រាប់ម្ចាស់ភោជនីយដ្ឋានដែលទទួល (Accepted) ដោយស្វ័យប្រវត្តិ (Default) អត្តសញ្ញាណ 123456:123456 និង Insecure Direct Object Reference (IDOR) នៅលើ API ផ្ទៃក្នុងដែលអនុញ្ញាតឱ្យគាត់ដំណើរការរាល់លេខទំនាក់ទំនង (Contacts) និង Chats ដែលគាត់ចង់។ បញ្ហាទាំងពីរនេះបានអនុញ្ញាតឱ្យគាត់ និងអ្នកដទៃជាមួយនឹង McHire Account អាចដំណើរការរាល់ Inbox ដើម្បីទទួលបានទិន្នន័យផ្ទាល់ខ្លួនរបស់កម្មវិធីមិនតិចជាង ៦៤លានទេ។ នៅក្នុងករណីនេះ ការបង្កើន ឬបន្ថយ Lead_id Number នៅក្នុងសំណើបានផ្ញើទិន្នន័យសំខាន់ៗត្រលប់ដែលជាកម្មសិទ្ធិរបស់អ្នកដាក់ពាក្យស្នើសុំផ្សេងទៀត ដោយសារ API មិនអាចពិនិត្យមើល ថាតើអ្នកប្រើប្រាស់មានសិទ្ធិចូលប្រើទិន្នន័យ ឬអត់នោះទេ។
បញ្ហានេះត្រូវបានរាយការណ៍ទៅកាន់ Paradox.ai និង McDonald’s កាលពីថ្ងៃទី៣០ ខែមិថុនា។ McDonald បានទទួលស្គាល់របាយការណ៍នេះ ហើយអត្តសញ្ញាណ Default Admin ត្រូវបានបិទភ្លាមៗផងដែរ។ McDonald’s បានប្រាប់ថា ក្រុមហ៊ុនសោកស្តាយចំពោះភាពងាយរងគ្រោះ ដែលមិនអាចទទួលបាននេះពីអ្នកផ្តល់សេវាកម្មភាគីទី៣ Paradox.ai។ ភ្លាមនោះដែរ ក្រុមហ៊ុនក៏បានបញ្ជាឱ្យ Paradox.ai ដោះស្រាយបញ្ហាភ្លាមៗ ហើយវាត្រូវបានដោះស្រាយនៅថ្ងៃតែមួយ និងបានរាយការណ៍មកក្រុមហ៊ុន។ Paradox បានដាក់ពង្រាយដំណោះស្រាយលើបញ្ហា IDOR និងបានបញ្ជាក់ថា ភាពងាយរងគ្រោះត្រូវបានកាត់បន្ថយ។ Paradox.ai បានលើកឡើងថា ខ្លួនកំពុងតែត្រួតពិនិត្យលើប្រព័ន្ធរបស់ខ្លួន ដើម្បីការពារបញ្ហាធំស្រដៀងគ្នានេះមិនឱ្យកើតមាននាពេលខាងមុខ។ Paradox ក៏បានប្រាប់ថា ព័ត៌មានដែលត្រូវបានលាតត្រដាងគួរតែជា Chatbot Interaction ដូចជាការចុចលើប៊ូតុង បើទោះជាមិនមានព័ត៌មានផ្ទាល់ខ្លួនត្រូវបានបញ្ចូលក៏ដោយ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១១ ខែកក្កដា ឆ្នាំ២០២៥
