Бот для найма сотрудников McDonald’s с ИИ становится причиной утечки данных 64 миллионов соискателей во время крупного нарушения безопасности

Слабый пароль на чат-боте для найма сотрудников McDonald’s привел к утечке данных миллионов соискателей, вызвав серьезные опасения относительно AI, приватности и практик цифровой безопасности.

Серьезная уязвимость в системе найма персонала McDonald’s подвергла риску персональные данные миллионов соискателей, используя поразительно простые методы, как впервые сообщал WIRED. Проблема безопасности была обнаружена на McHire.com, сайте, который позволяет кандидатам взаимодействовать с «Оливией», чат-ботом на базе искусственного интеллекта, разработанным Paradox.ai для отбора кандидатов.

Журнал WIRED сообщает, что эксперты по безопасности Иэн Кэрролл и Сэм Карри получили доступ к бэкенд-системе McHire, используя комбинацию имени пользователя и пароля «123456». Ученые получили доступ к информации о заявителях, включая имена, электронные адреса, телефонные номера и логи чатов из более чем 64 миллионов записей после входа в систему.

«Мне просто показалось, что это довольно уникально дистопично по сравнению с обычным процессом найма», — сказал Кэрролл журналу WIRED. «Так что я начала подавать заявку на работу, и спустя 30 минут у нас был полный доступ к практически каждой заявке, которая когда-либо была подана в McDonald’s на протяжении многих лет», — добавила Кэрролл.

Paradox.ai подтвердил наличие уязвимости в своем заявлении и сообщил, что лишь небольшое количество записей содержали личные данные. Доступ к раскрытому аккаунту не осуществлялся с 2019 года, и ему не хватало базовых защитных мер, таких как двухфакторная аутентификация. «Мы не принимаем эту проблему на легкую катушку», — заявила главный юрисконсульт Paradox.ai, Стефани Кинг, как сообщает WIRED. «Мы берем эту проблему на себя», — добавил она.

WIRED сообщил, что McDonald’s выпустил другое заявление, в котором указал на Paradox.ai как на источник проблемы и заявил, что проблема была немедленно устранена. «Мы разочарованы этой недопустимой уязвимостью от стороннего поставщика», — заявила компания.

Кэрролл и Карри объяснили, что раскрытые данные могут быть использованы для проведения фишинговых атак, в ходе которых злоумышленники, выдающие себя за сотрудников отдела кадров McDonald’s, могут запросить конфиденциальную финансовую информацию у соискателей. Раскрытые данные включали в себя нечувствительную информацию, но ее контекст в виде заявлений на работу с минимальной заработной платой создавал потенциальные риски нанесения ущерба соискателям.