[ad_1]

La chaîne de restaurants Grillades mexicaines au chipotle semble assez bon pour produire un grand nombre d’énormes burritos, mais l’entreprise devra peut-être revoir certains concepts de base de la cybersécurité d’entreprise. Pour commencer, le service des ressources humaines de Chipotle a répondu aux nouveaux candidats à l’emploi en utilisant le domaine « chipotlehr.com” — un nom de site Web que l’entreprise n’a jamais possédé ou contrôlé.

puce électroniqueTraduction : jusqu’à la semaine dernière, n’importe qui pouvait lire les e-mails destinés au service des ressources humaines de l’entreprise simplement en enregistrant le domaine « chipotlehr.com ». Pire encore, Chipotle lui-même le signale par inadvertance depuis des mois dans des e-mails à tous ceux qui ont postulé à un emploi via le site Web de l’entreprise.

Cette surveillance de la sécurité par Chipotle a été mise en lumière par le lecteur BreachTrace.com Michel Kohlmanun informaticien professionnel qui a découvert le bogue après avoir postulé pour un emploi chez le détaillant alimentaire.

Kohlman, qui est actuellement entre deux emplois, a déclaré qu’il avait soumis son CV et sa candidature au service des ressources humaines en ligne de Chipotle, pas nécessairement parce qu’il voulait être un employé de restaurant, mais plus pour satisfaire aux conditions de ses allocations de chômage (qui l’obligent à présenter régulièrement une preuve qu’il recherche activement du travail).

Kohlman a déclaré qu’après avoir soumis son CV et sa candidature, il avait reçu un e-mail de Chipotle Carrières qui portait l’adresse de retour @chipotlehr.com. Le natif du Minnesota a déclaré qu’il était devenu curieux de connaître la source de l’e-mail Chipotle HR lorsqu’une réponse envoyée à cette adresse a généré une erreur ou un message de « rebond » indiquant que sa missive n’était pas livrable.

« La réponse en conserve était très étrange », a déclaré Kohlman. « Plutôt que d’indiquer que l’e-mail n’existait pas, [the bounced message] vient de revenir et a dit qu’il ne pouvait pas résoudre les paramètres DNS.

Une recherche rapide des enregistrements de propriété sur le domaine a montré qu’il n’avait jamais été enregistré auparavant. Ainsi, a déclaré Kohlman, sur un coup de tête, il a déboursé 30 $ pour l’acheter.

Le message de bienvenue que l’on reçoit après avoir soumis avec succès une candidature à un emploi chez Chipotle décourage les utilisateurs de répondre au message. Mais Kohlman a déclaré qu’un bref aperçu des e-mails entrants associés à ce domaine a révélé un flux constant d’e-mails capricieux vers chipotlehr.com – principalement de demandeurs d’emploi et de personnes cherchant une assistance par mot de passe pour le portail Chipotle HR.

Une lettre de confirmation de Chipotle Careers, qui a utilisé pendant au moins plusieurs mois l'adresse de réponse chipotlehr.com, un domaine que l'entreprise ne possédait pas.

Une lettre de confirmation que j’ai reçue de Chipotle Careers, qui pendant au moins plusieurs mois a utilisé l’adresse de réponse chipotlehr.com, un domaine que l’entreprise ne possédait pas.

« En un mot, tout ce qui entre dans les e-mails de ce système RH pourrait être saisi, donc le potentiel pour quelqu’un d’en abuser est énorme », a déclaré Kohlman. « En tant que personne qui a fait une grande partie de sa carrière en se défendant contre les cyber-attaquants, je préfère voir Chipotle et d’autres apprendre de leurs erreurs plutôt que de causer de réels dommages. »

Kohlman a depuis proposé de céder librement le domaine à la chaîne de restaurants. Mais Chipotle n’a exprimé aucun intérêt à acquérir le domaine gratuit. En fait, le porte-parole de Chipotle Chris Arnold dit que la société ne voit pas du tout cela comme un gros problème.

« Le chipotlehr.com domaine n’est pas une adresse fonctionnelle et ne l’a jamais été », a écrit Arnold dans un communiqué envoyé par e-mail. « Cela n’a jamais eu de signification opérationnelle et n’a jamais servi à solliciter ou à accepter une quelconque réponse. Il n’y a donc jamais eu de risque de sécurité d’aucune sorte associé à cela. Cette adresse est changée en carrières.chipotle.com (un domaine que nous possédons), mais cela n’a jamais été fonctionnel et n’est vraiment pas un problème.

Je suppose que ce n’est pas vraiment une réponse choquante de la part d’une entreprise de 3,5 milliards de dollars par an qui ne fait que embauché le mois dernier son premier directeur de l’information. Chipotle n’a toujours pas de poste qui placerait quelqu’un en charge de la sécurité informatique. On pourrait dire que le niveau de maturité de la sécurité infosec de l’entreprise laisse un peu à désirer.

Toute cette débâcle me rappelle une histoire que j’ai écrite en 2008 intitulé « Ils vous ont dit de ne pas répondre“. Cette pièce parlait d’un jeune homme aventureux qui a enregistré le domaine « donotreply.com » – juste pour voir à quel point le domaine était abusé. Il ne savait pas pourquoi il s’inscrivait : une surabondance constante d’e-mails destinés aux entreprises qui y avaient abandonné des clients pendant des années – y compris des banques, des sous-traitants de la défense et tout un tas d’autres organisations qui auraient dû mieux le savoir. Il a fini par publier les e-mails les plus drôles sur son blog et ne supprimait généralement les e-mails qu’après que les entreprises incriminées aient accepté de faire un don à n’importe quel refuge pour animaux local.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *