فقدت ماكدونالدز 64 مليون بيانات 64 مليون شخص بسبب قراصنة الإنترنت

كشفت سلسلة مطاعم ماكدونالدز، إحدى أكبر سلاسل مطاعم الوجبات السريعة في العالم، عن ثغرة أمنية رقمية لا يمكن تخيلها، حيث أعلن الباحثون الذين اخترقوا نظام التوظيف McHire من خلال لوحة الإدارة، والتي لا يمكن الوصول إليها إلا بكلمة مرور بسيطة مثل "123456"، أن البيانات الشخصية لـ 64 مليون شخص في خطر.

admin

يوليو 15, 2025 - 08:00

0 0

فقدت ماكدونالدز 64 مليون بيانات 64 مليون شخص بسبب قراصنة الإنترنت

دخلت سلسلة مطاعم ماكدونالدز للوجبات السريعة الشهيرة عالمياً على جدول الأعمال بواحدة من أكبر فضائح الأمن الرقمي على الإطلاق. فقد تم الكشف عن أن نظام ماكدونالدز للتوظيف McHire الخاص بماكدونالدز لا يمكن الوصول إلى لوحات الإدارة إلا بكلمة مرور بسيطة مثل "123456". وقد أدت هذه الثغرة إلى تسريب البيانات الشخصية لأكثر من 64 مليون متقدم في جميع أنحاء العالم.

ثغرة أمنية خطيرة في نظام McHire

نظام McHire، الذي تستخدمه 90% من فروع ماكدونالدز، هو نظام طورته شركة Paradox.ai، وهو نظام يجمع الطلبات من خلال مساعد يعمل بالذكاء الاصطناعي يُدعى "أوليفيا". تسجل المنصة تفاصيل الاتصال الخاصة بالمستخدمين وتفضيلات المناوبة وإجابات اختبارات الشخصية.

أفاد الباحثون أنهم تمكنوا من الوصول إلى لوحة إدارة النظام بمحاولات قليلة فقط. تم اكتشاف أن النظام قام بتسجيل الدخول مباشرةً عند كتابة تركيبة شائعة مثل "123456" في حقل اسم المستخدم وكلمة المرور في اللوحة التي تم الوصول إليها عبر رابط "أعضاء فريق بارادوكس".

لم تكن كلمة المرور هي المشكلة الوحيدة لم تكن هناك مصادقة

كانت الثغرة الأمنية الرئيسية مخفية في واجهة برمجة التطبيقات التي تعمل على "lead_id" في خلفية النظام. كشفت واجهة برمجة التطبيقات هذه، التي استخدمها المطورون للاختبار الداخلي، بيانات المستخدم دون أي آلية مصادقة. وبفضل هذه الثغرة، فإن هذه البيانات تخص الأشخاص الذين تقدموا بطلبات إلى ماكدونالدز في الماضي:

الاسم، واللقب، ورقم الهاتف، والبريد الإلكتروني، والعنوان

معلومات عملية التقديم وإجابات اختبار الشخصية

رموز التحقق الخاصة بالمستخدم

سجل الدردشة وجميع الرسائل داخل النظام

كان يمكن الوصول إلى هذه البيانات

تسرب عملاق 64 مليون شخص

وفقًا للباحثين، أثرت هذه الثغرة على أكثر من 64 مليون تطبيق ماكدونالدز في جميع أنحاء العالم. يُذكر أن البيانات المسربة على مستوى يمكن الوصول إلى النظام نيابةً عن المستخدمين.

PARADOX.AI: تم إغلاق الثغرة وبدء التحقيق

بعد إدراك الموقف، حاول الباحثون الاتصال بـ Paradox.ai. ومع ذلك، لم تكن هناك قناة إخطار مفتوحة على صفحة الأمان الرسمية للشركة. أعلن الفريق عن الوضع من خلال محاولة الوصول إلى عناوين بريد إلكتروني عشوائية. عندما تم الوصول إلى الأشخاص المناسبين أخيراً، اتخذ مسؤولو Paradox.ai إجراءً وأعلنوا أن الثغرة قد أُغلقت وأنهم بدأوا مراجعة واسعة النطاق للنظام.