McDo a choisi le pire mot de passe pour sa plateforme de recrutement… et s'est fait hacker
Sur leur site, les hackers Ian Carroll et Sam Curry expliquent en effet qu'en seulement quelques heures, ils ont repéré plusieurs failles de sécurité sur l'interface McHire, qui permet aux Américains de postuler chez McDonald's. Comme l'explique Wired, il est conseillé sur ce site d'interagir avec Olivia, un robot conversationnel développé par Paradox.ai, une entreprise spécialisée en logiciels d'intelligence artificielle. Olivia est décrite comme une « assistante virtuelle de recrutement », un chatbot qui peut aider les candidats « à chercher un travail » et qui peut leur expliquer « le processus pour postuler ».
Après avoir échangé avec Olivia, Ian Carroll et Sam Curry ont alors essayé de se connecter sur McHire, comme les propriétaires de restaurants McDonald's peuvent se connecter pour voir les candidatures. « Sans trop réfléchir, nous avons écrit '123456' comme nom d'utilisateur et '123456' comme mot de passe et nous étions surpris de voir que nous étions immédiatement connectés ! », expliquent les hackers sur leur site, avec des captures d'écran à l'appui.
Les données de 64 millions de candidats révélées
Une fois connectés, les deux chercheurs ont compris qu'ils avaient accès au compte administrateur d'un faux restaurant, créé pour tester l'interface McHire. Ils ont donc décidé de postuler avec un faux profil afin de voir l'envers du décor depuis le compte administrateur. « Le restaurant peut voir toute la progression des conversations avec 'Olivia' », ont-ils démontré.
Et là, catastrophe : les hackers comprennent qu'en utilisant le numéro de candidature, ici 64 185 742, ils peuvent en réalité, via une interface, avoir accès à toutes les candidatures précédentes. « On a essayé de diminuer ce numéro, et nous avons immédiatement été confrontés avec les données personnelles d'un autre candidat ayant postulé à McDonald's ! », affirment-ils.
La fuite est gigantesque. Les hackers peuvent alors mettre leurs mains sur les noms, les adresses ou encore les numéros de téléphone de millions de candidats, mais aussi toutes leurs conversations avec Olivia le chatbot. Un butin inespéré qui, dans les mains de hackers mal intentionnés, permettrait facilement d'arnaquer les candidats en attente d'une réponse.
Le 30 juin en fin d'après-midi, Ian Carroll et Sam Curry préviennent donc Paradox.ai et McDonald's, afin qu'ils puissent résoudre le problème. L'erreur est réglée le 1er juillet. Interrogé par Wired, Paradox.ai a assumé, précisant cependant que seule une petite partie des dossiers auxquels les chercheurs ont pu avoir accès contenaient des données personnelles, et que personne mis à part ces deux hackers n'avait trouvé la faille auparavant. Dans un communiqué, McDonald's a de son côté déclaré avoir été déçus « par cette vulnérabilité inacceptable d'un prestataire ».
Essayez nos fonctionnalités IA
Découvrez ce que Daily8 IA peut faire pour vous :
Commentaires
Aucun commentaire pour le moment...
Articles connexes
Le Parisien
5 days ago
- Le Parisien
Airbnb : une cliente dénonce les images truquées par IA d'un propriétaire voulant obtenir un dédommagement
Elle prend la parole pour informer les clients d'Airbnb qui pourraient être victimes de réclamations frauduleuses similaires. Après des mois de litige, une Londonienne vient d'obtenir gain de cause auprès de la plate-forme Airbnb. Elle a démontré que l'hôte, qui lui réclamait des milliers d'euros de dommages et intérêts, avait trafiqué des images, probablement en utilisant l'intelligence artificielle (IA), rapporte The Guardian. En début d'année, une cliente d'Airbnb réserve un logement à New York via la plate-forme pour une durée de deux mois et demi et un montant de 4 300 livres (presque 5 000 euros). Se sentant en insécurité dans le quartier, elle décide de quitter les lieux plus tôt que prévu. Mais peu après son départ, le propriétaire l'accuse d'avoir causé de nombreux dégâts. Photos à l'appui, il se plaint d'une table fissurée en son centre, de taches d'urine sur le matelas et d'un aspirateur, d'un micro-ondes, d'une télévision, d'un climatiseur et d'un canapé endommagés. Montant du préjudice réclamé : 5314 livres (plus de 6 000 euros). Des incohérences sur les photos Problème : avec seulement deux visiteurs pendant son séjour de sept semaines et un témoin au moment de son départ, la locataire affirme avoir laissé le logement en parfait état. Sur les images censées prouver les dégâts causés, elle note des incohérences : la fissure de la table n'est notamment pas la même selon les clichés. Elle en est convaincue : les clichés ont été trafiqués numériquement, probablement à l'aide d'une IA. À voir aussi Ses réclamations, d'abord ignorées par la plate-forme, ont finalement été examinées après que Guardian l'ait interrogé. Airbnb a fini par lui rembourser l'intégralité du montant de sa réservation et a supprimé l'avis négatif laissé par l'hôte, en plus de lui présenter des excuses. Le propriétaire, classé « Superhost » sur la plate-forme, s'en tire avec un avertissement et risque l'exclusion en cas de nouvelle plainte. L'entreprise l'a informé qu'elle n'était pas en mesure d'authentifier les images envoyées. À lire aussi Gare aux « boomers traps », ces fausses images qui trompent les internautes les plus âgés
Le Parisien
17-07-2025
- Le Parisien
Coyote Max : le meilleur alerteur de radars à son plus bas prix historique pour les départs en vacances
Le Coyote Max tombe à 249 € grâce à une remise de 17 % chez Amazon , soit son prix le plus bas depuis son lancement. Ce boîtier communautaire vous avertit des contrôles de vitesse et des dangers sur votre trajet. L'écran tactile affiche votre vitesse ainsi que les limitations en temps réel. Il fonctionne grâce à une large communauté active et offre des notifications précises sur les zones à risques. En cette période intense de départs en vacances, le Coyote Max signale en temps réel les radars signalés par la communauté, tout en affichant la vitesse autorisée. L'écran tactile facilite la navigation dans les menus sans détourner votre attention de la route. Le Coyote Max vous accompagne au quotidien pour rester informé des contrôles et dangers signalés sur votre route. Ce boîtier compact s'intègre rapidement dans l'habitacle, pour une prise en main simple et discrète. Grâce à son écran tactile de 4 pouces, il affiche en un coup d'œil votre vitesse et la limitation en vigueur. La communauté active transmet en temps réel les zones de contrôle et les incidents signalés sur votre parcours, pour adapter sereinement votre conduite. Le boîtier fonctionne de manière autonome, sans besoin de téléphone, et se recharge facilement dans le véhicule. Le Coyote Max s'affiche à 249 € chez Amazon , avec son prix le plus bas constaté sur un an. L'écran tactile reste clair même en plein soleil, ce qui facilite la lecture des alertes. Le boîtier fonctionne sans publicité et s'adresse à ceux qui recherchent un assistant fiable pour leurs déplacements quotidiens, avec une garantie de deux ans pour plus de sérénité.
Le HuffPost France
11-07-2025
- Le HuffPost France
Sous Donald Trump, le FBI utilise le détecteur de mensonges pour évaluer la loyauté des employés
ETATS-UNIS - C'est un nouveau révélateur de la manière dont l'administration Trump se radicalise à tous les échelons. Depuis sa nomination à la tête du FBI, le nouveau directeur Kash Patel s'est lancé dans une grande chasse au moindre dissident au sein de l'agence. Et il se sert d'un outil bien connu pour débusquer toute information sur quiconque aurait émis une critique à son encontre : le polygraphe, aussi appelé détecteur de mensonges. Cet outil peut être utilisé par le FBI dans le cadre d'enquêtes sur des soupçons de trahison contre les États-Unis, ou la révélation de secrets d'État. Sa fiabilité est pourtant contestable, étant donné qu'il se base sur des réponses physiologiques comme le rythme cardiaque, la respiration ou la pression artérielle, des éléments qui ne peuvent suffire pour affirmer avec certitude que quelqu'un ment. Mais depuis la nomination de Kash Patel, fidèle de Donald Trump, le polygraphe est surtout employé pour traquer ceux qui auraient osé critiquer leur nouveau patron ou ses adjoints, ou bien transmis des informations confidentielles à la presse. Selon le New York Times, plusieurs dizaines d'agents auraient déjà été soumis au verdict du détecteur de mensonges pour évaluer leur loyauté. Le journal cite un exemple révélateur : plusieurs membres ont été interrogés pour savoir qui avait révélé aux médias que Kash Patel avait réclamé une arme de service. Une demande qui avait surpris étant donné que celui-ci n'est pas un agent à proprement parler, et qui révèlent à quel point le directeur de l'agence tient à verrouiller et contrôler ses équipes. « La fragilité personnelle de Patel » Ces révélations s'inscrivent dans la démarche de transformation totale du FBI que veut mener Donald Trump depuis son retour à la Maison Blanche, fustigeant les enquêtes que l'agence avait menées sur lui par le passé. La nomination de Kash Patel, trumpiste convaincu et adepte de théories complotistes sur « l'état profond » ou sur le « vol » de l'élection présidentielle 2020, en disait long sur la volonté du président américain de mettre au pas les services de renseignement. Depuis le début de l'année, de nombreux agents du FBI ont été suspendus jusqu'aux plus hauts rangs de l'organisation. D'autres ont fait le choix de partir d'eux-mêmes, craignant que Kash Patel ou ses proches n'exercent des représailles à leur encontre pour avoir mené des enquêtes qui leur déplaisaient par le passé. Même des personnes mises à pied ont été sommées de revenir au bureau… pour passer par le polygraphe. « La loyauté d'un employé du FBI va à la Constitution, pas au directeur ni au directeur adjoint. Cela en dit long sur la fragilité personnelle de Patel que ce genre de choses lui tienne autant à cœur », a déclaré au New York Times James Davidson, un ancien agent ayant passé 23 ans au sein du Bureau. « Sous Patel et Bongino, l'expertise technique et la compétence opérationnelle sont volontiers sacrifiées au profit de la pureté idéologique et de la politisation incessante des effectifs », complète Michael Feinberg. Ce dernier était un agent du FBI jusqu'au printemps, et a été menacé de passer au polygraphe en raison de… son amitié avec un ancien agent qui avait été licencié pour avoir envoyé des messages se moquant de Donald Trump. Pour garder son poste, Michael Feinberg affirme qu'on attendait de lui qu'il « rampe, implore le pardon et jure fidélité dans le cadre de la révolution culturelle du FBI ». Il a fait le choix de démissionner avant de passer par ce test. De son côté, le FBI a refusé de réagir à ces révélations, se contentant d'évoquer
