HackerNews 编译，转载请注明出处： 2026年1月20日，Everest在其暗网泄密网站上公布了此次入侵的相关信息，并威胁称，若企业未在其设定的期限内作出回应，将公开披露所窃取的数据。根据 Everest 勒索软件组织的说法，此次攻击导致大量公司内部文件及客户个人数据被泄露。 攻击者宣称：“你们客户的个人数据以及内部文件已被泄露并存储在我们的系统中”，其中包括“种类繁多的客户个人文件和信息”。 据称，被窃取的数据包含大量内部记录，可能在区域范围内引发严重的身份盗用和定向钓鱼攻击风险。 Everest是一个以俄语为主要交流语言的勒索软件组织，最早于2020年12月出现，起初以数据窃取为主，至2021年初发展为具备AES/DES双重加密能力的完整勒索软件体系。 该组织以“纯敲诈”策略而闻名，重点在于窃取并出售企业敏感数据，而不仅仅是对文件进行加密。其近期的高知名度受害者包括华硕、日产汽车，以及都柏林机场。 麦当劳在印度通过两家独立公司运营：负责北部和东部地区的Connaught Plaza Restaurants，以及负责西部和南部地区的 Hardcastle Restaurants。自1996年以来，这两家实体已为数百万印度消费者提供服务。 此前，该公司曾在 2017 年和 2024 年 遭遇过数据安全相关问题。 截至目前，麦当劳印度方面尚未确认此次数据泄露事件。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现麦当劳AI招聘平台McHire存在漏洞，导致全美超6400万份求职申请的聊天数据面临泄露风险。该漏洞由伊恩·卡罗尔（Ian Carroll）与萨姆·柯里（Sam Curry）发现，其利用平台测试账户的弱凭证（用户名密码均为“123456”）进入系统。 McHire平台由Paradox.ai开发，约90%的麦当劳加盟商使用其AI聊天机器人Olivia处理求职申请。应聘者需提交姓名、邮箱、电话、住址及可工作时间，并完成性格测试。 研究人员登录后通过测试餐厅提交申请，观察到HTTP请求发送至/api/lead/cem-xhr接口，其中lead_id参数值为64185742。通过增减该参数值，他们成功越权访问其他求职者的完整聊天记录、会话令牌及个人数据。此漏洞属于不安全的直接对象引用（IDOR）——当应用程序未验证用户权限即暴露内部对象标识符（如记录编号）时，攻击者可任意访问数据。 卡罗尔在漏洞报告中指出：“初步安全审查仅数小时就发现两处严重缺陷：餐厅业主管理界面接受默认凭证123456:123456，且内部API的IDOR漏洞允许访问任意联系人和聊天数据。二者结合使任何McHire账户持有者能窃取6400万申请人的隐私信息。” 该问题于6月30日报告至Paradox.ai与麦当劳。麦当劳一小时内确认报告，随即禁用默认管理凭证。麦当劳向媒体声明：“对第三方供应商Paradox.ai存在如此不可接受的漏洞深感失望。获悉后立即要求其修复，问题在报告当日即获解决。”Paradox.ai部署补丁修复IDOR漏洞，并承诺全面审查系统防止类似问题重现。该公司补充说明，即使申请人未提交个人信息，仅点击聊天按钮的交互行为也会被记录。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文