McDonald's lộ 64 triệu hồ sơ ứng viên vì mật khẩu '123456'

Hacker bẻ khóa dễ dàng với mật khẩu dễ đoán thế này

Chuyện gì đã xảy ra?

McDonald's gần đây đã ra mắt một nền tảng tuyển dụng mới có tên McHire (McHire.com) do Paradox.ai phát triển. Hệ thống này sử dụng chatbot AI có tên Olivia để sàng lọc ứng viên, thu thập thông tin liên lạc, nhận CV, kiểm tra tính cách... Tuy nhiên, nền tảng này đã gặp lỗ hổng bảo mật nghiêm trọng.

Hai chuyên gia bảo mật Ian Carroll và Sam Curry đã phát hiện ra lỗ hổng một cách dễ dàng. Khi thấy trang web có link đăng nhập vào hệ thống quản trị, họ thử username "admin", password "admin" - thất bại. Nhưng ở lần thử thứ hai, username "123456", password "123456" - thành công!

Đúng vậy, bạn không nhìn nhầm. Hệ thống bảo vệ thông tin của 64 triệu người chỉ dùng mật khẩu kiểu trẻ em lớp mầm tập đếm số từ 1 đến 6: "123456". Đây là một trong những mật khẩu yếu nhất và phổ biến nhất trên thế giới.

Sau khi vào được hệ thống, hai chuyên gia đã có thể truy cập toàn bộ dữ liệu mà nền tảng thu thập được, bao gồm họ tên, email, số điện thoại, CV và hồ sơ cá nhân... Tổng cộng 64 triệu hồ sơ đã bị lộ - một con số khổng lồ!

Tại sao điều này lại nguy hiểm?

Ngay sau khi phát hiện, Paradox đã được thông báo và nhanh chóng khắc phục lỗ hổng. Công ty nói với Wired rằng "chỉ một phần nhỏ các bản ghi" mà các nhà nghiên cứu truy cập có chứa thông tin cá nhân, và lỗ hổng này chưa từng bị phát hiện bởi bất kỳ ai khác trước đó.

Mặc dù việc lấy cắp tên, email và số điện thoại có vẻ không nhiều. Thậm chí, nhiều người có thể nghĩ: "Chỉ là tên, email và số điện thoại thôi mà, có gì đáng lo?". Thế nhưng, tội phạm mạng có thể sử dụng chúng để tạo ra các cuộc tấn công lừa đảo (phishing) rất tinh vi, đặc biệt khi biết rằng các nạn nhân đã từng nộp đơn xin việc tại McDonald’s.

Chúng có thể tạo ra email giả mạo rất thuyết phục như: "Chúc mừng bạn được nhận việc tại McDonald's" rồi đề nghị "Cập nhật thông tin tuyển dụng", "Hoàn tất hồ sơ tuyển dụng"... rồi "cá cắn câu".

Ngoài ra, với thông tin cá nhân, tội phạm mạng có thể mở tài khoản ngân hàng, đăng ký dịch vụ, hoặc thực hiện các giao dịch gian lận. Hay qua email lừa đảo, chúng có thể khiến nạn nhân tải về các phần mềm độc hại. Đáng sợ hơn là chúng sử dụng thông tin để lừa đảo chuyển khoản hoặc thanh toán trực tuyến.

Bài học cho chúng ta

Đối với doanh nghiệp: Không bao giờ sử dụng mật khẩu mặc định như "admin", "123456", "password"; thường xuyên kiểm tra bảo mật hệ thống; đào tạo nhân viên về an ninh mạng; thuê chuyên gia bảo mật để đánh giá định kỳ.

Đối với cá nhân: Cẩn thận với email lạ, đặc biệt là những email về việc làm; không click vào link đáng ngờ trong email; xác minh thông tin qua kênh chính thức trước khi cung cấp dữ liệu; sử dụng mật khẩu mạnh cho tất cả tài khoản.

Nếu bạn đã từng nộp đơn xin việc tại McDonald's qua hệ thống McHire, hãy theo dõi email và tin nhắn cẩn thận trong thời gian tới; không cung cấp thông tin cá nhân qua email hoặc điện thoại trừ khi chắc chắn 100%; thay đổi mật khẩu các tài khoản quan trọng nếu bạn đã từng sử dụng cùng thông tin; kiểm tra tài khoản ngân hàng thường xuyên...

Vụ việc này là một lời cảnh tỉnh mạnh mẽ về tầm quan trọng của bảo mật trong thời đại số. Chỉ cần một mật khẩu yếu, hàng triệu người có thể gặp nguy hiểm. Hãy luôn cảnh giác và bảo vệ thông tin cá nhân của mình!

Bùi Tú