ИИ-рекрутер McDonald’s (не)защитил личные данные десятков миллионов соискателей паролем 123456

Дыры в системе обнаружили независимые исследователи Иэн Кэрролл и Сэм Карри. Простым подбором логина и пароля пароля «123456» они взломали базы данных платформы. По оценкам экспертов, утечке могли подвергнуться до 64 млн записей.

Кэрролл заинтересовался хайринговой найма McDonald’s из-за её необычного подхода — использования ИИ-бота вместо живых рекрутеров — и решил проверить, насколько защищены данные кандидатов. Уже через полчаса тестирования он получил доступ ко всем заявкам, поданным в McDonald’s за последние годы.

Представители компании Paradox.ai, разработавшей платформу чат-бота, подтвердили наличие уязвимости. По их словам, персональную информацию содержала лишь небольшая часть данных. Там добавили, что аккаунт с паролем «123456» не был взломан третьими лицами, а доступ к нему получили только исследователи. При этом в компании понимают серьёзность проблемы и уже разрабатывают программу баг-баунти.

В McDonald’s назвали прокол Paradox.ai неприемлемым. Фастфуд-сеть заявила, что уязвимость была устранена в тот же день, когда о ней стало известно, и что она требует от подрядчиков строгого соблюдать стандарты защиты данных.

McDonald’s отказался от заказов с помощью ИИ после факапов

По теме

McDonald’s отказался от заказов с помощью ИИ после факапов

Хакер внедрил в ChatGPT ложные воспоминания, чтобы красть пользовательские данные

По теме

Хакер внедрил в ChatGPT ложные воспоминания, чтобы красть пользовательские данные

Как поддержать редакцию, если вы в Польше?

Помогите нам делать больше полезного контента