Data 64 Juta Pelamar McDonald’s Bocor Akibat Password ‘123456’

Keamanan Siber Buruk: Data Pelamar McDonald’s Rentan Akibat Password Lemah

Sebuah insiden keamanan yang memalukan menimpa McDonald’s. Platform rekrutmen mereka, McHire, diduga memiliki celah keamanan yang sangat parah. Peneliti keamanan berhasil mengakses informasi pribadi dari sekitar 64 juta pelamar kerja hanya dengan menggunakan kombinasi username dan password yang sangat sederhana: ‘123456’.

Bagaimana Kebocoran Data Pelamar McDonald’s Terjadi?

Platform McHire menggunakan chatbot bernama Olivia, yang dikembangkan oleh Paradox.ai, untuk menyaring calon karyawan. Olivia melakukan penilaian melalui tes kepribadian dalam percakapan. Peneliti keamanan, Sam Curry dan Ian Carroll, menemukan bahwa dengan kredensial ‘123456/123456’, mereka dapat masuk sebagai administrator ke sistem McHire dan mengakses data sensitif.

Informasi yang Bocor dari Sistem McHire

Data yang berhasil diakses oleh peneliti meliputi:

Nama lengkap pelamar
Alamat email
Nomor telepon
Alamat tempat tinggal
Negara bagian tempat tinggal
Auth token yang digunakan untuk mengakses situs web
Seluruh riwayat percakapan antara pelamar dan chatbot Olivia

Respons McDonald’s dan Paradox.ai Terhadap Kebocoran Data

Curry dan Carroll melaporkan temuan mereka kepada Paradox.ai dan McDonald’s pada 30 Juni. McDonald’s mengonfirmasi bahwa kredensial yang bocor tersebut telah dinonaktifkan pada hari yang sama. Paradox.ai menyatakan bahwa masalah tersebut telah diselesaikan dalam beberapa jam setelah pemberitahuan.

Dalam pernyataan resminya, Paradox.ai menjelaskan bahwa peneliti masuk ke akun pengujian menggunakan legacy password yang belum diperbarui sejak pembuatan akun. Mereka juga menemukan kerentanan API yang memungkinkan akses ke informasi terkait interaksi percakapan. Paradox.ai mengakui bahwa pengujian penetrasi sebelumnya tidak mengidentifikasi masalah ini.

Implikasi dan Pentingnya Keamanan Siber

Insiden ini menyoroti pentingnya keamanan siber, terutama dalam penanganan data pribadi. Penggunaan password yang lemah dan kurangnya pengujian keamanan yang memadai dapat menyebabkan kebocoran data yang serius, merugikan jutaan orang. Kasus ini menjadi pelajaran berharga bagi perusahaan untuk memprioritaskan keamanan data dan menerapkan praktik keamanan siber yang lebih ketat, termasuk penggunaan password yang kuat dan melakukan pengujian keamanan secara berkala.

Selain itu, insiden ini juga menggarisbawahi perlunya kesadaran akan pentingnya perlindungan data pribadi. Pengguna internet harus berhati-hati dalam memberikan informasi pribadi mereka dan memastikan bahwa platform yang mereka gunakan memiliki sistem keamanan yang memadai.