ШІ-рэкрутар McDonald's (не)абараніў асабістыя дадзеныя дзясяткаў мільёнаў саіскальнікаў паролем 123456
McDonald’s выкарыстоўвае для найму супрацоўнікаў платформу McHire, у якой ёсць ШІ-бот па імені Olivia. Спецыялісты па кібербяспецы выявілі, што бот захоўваў дадзеныя саіскальнікаў пад прымітыўным паролем «123456», які мог дазволіць хакерам атрымаць доступ да іх персанальнай інфармацыі, уключаючы імёны, нумары тэлефонаў і емэйлы. Пра ўразлівасць паведаміў Wired.
Дзіры ў сістэме выявілі незалежныя даследчыкі Іэн Кэрал і Сэм Кары. Простым падборам лагіна і пароля «123456» яны ўзламалі базы дадзеных платформы. Па ацэнках экспертаў, уцечцы маглі падвергнуцца да 64 млн запісаў.
Кэрал зацікавіўся сістэмай найму McDonald’s з-за яе незвычайнага падыходу — выкарыстання ШІ-бота замест жывых рэкрутараў — і вырашыў праверыць, наколькі абароненыя дадзеныя кандыдатаў. Ужо праз паўгадзіны тэставання ён атрымаў доступ да ўсіх заявак, пададзеных у McDonald’s за апошнія гады.
Прадстаўнікі кампаніі Paradox.ai, якая распрацавала платформу чат-бота, пацвердзілі наяўнасць уразлівасці. Па іх словах, персанальную інфармацыю ўтрымлівала толькі невялікая частка дадзеных. Там дадалі, што акаўнт з паролем «123456» не быў узламаны трэцімі асобамі, а доступ да яго атрымалі толькі даследчыкі. Пры гэтым у кампаніі разумеюць сур’ёзнасць праблемы і ўжо распрацоўваюць праграму баг-баўнці.
У McDonald’s назвалі пракол Paradox.ai непрымальным. Фастфуд-сетка заявіла, што ўразлівасць была ліквідавана ў той жа дзень, калі пра яе стала вядома, і што яна патрабуе ад падрадчыкаў строгага прытрымлівання стандартаў абароны дадзеных.
Читать на dev.by