Система автоматизации стала источником вымогательства сетей фастфудов.
Группа исследователей безопасности смогла проникнуть в систему чат-бота, используемого крупными фастфуд-франшизами для автоматизации процесса найма сотрудников. Исследователи получили возможность принимать кандидатов на работу или отказывать им, а также получили доступ к конфиденциальной информации о соискателях, самих франшизах и компании Chattr, разработавшей чат-бот.
Один из исследователей, известный как MrBruh, сообщил 404 Media, что доступ можно было использовать для шантажа. Он указал на возможность уничтожения базы данных и требования денег за ее восстановление. MrBruh оказался «рад, что смог предотвратить это» и сообщил компании Chattr о проблеме.
MrBruh в своем блоге написал, что начало истории связано со скриптом, который он создал для поиска уязвимостей в Firebase, платформе, часто используемой разработчиками приложений. Скрипт обнаружил уязвимую конфигурацию Firebase, связанную с сетью KFC. Исследователи использовали эту конфигурацию для доступа к базе данных, что позволило им увидеть информацию, включая имена, номера телефонов, адреса электронной почты, местоположение филиалов, сообщения, графики работы и некоторые пароли. Данные касались менеджеров франчайзи, соискателей работы и сотрудников Chattr.
https://www.securitylab.ru/upload/me...hbz8rev4l0.png
Пример анкеты соискателя
Однако утечка данных не ограничивалась одной базой KFC. Упоминались также компании Chick-fil-A и Subway. Исследователи обнаружили доступ к административной панели, где были перечислены организации, использующие Chattr, а также возможность принимать или отклонять кандидатов.
MrBruh сообщил о проблеме Chattr 9 января. На следующий день Chattr устранила уязвимость, но, по словам MrBruh, не выразила благодарности и не связалась с исследователем, хотя он попросил об этом в своем письме. Chattr также не предоставила комментариев. Представитель KFC сообщил, что Chattr работает только с одним франчайзи KFC и компания не располагает подробностями этого сотрудничества.