ИИ-рекрутер McDonald’s (не)защитил личные данные десятков миллионов соискателей паролем 123456
McDonald’s использует для найма сотрудников на работу платформу McHire, в которой есть ИИ-бот по имени Olivia. Специалисты по кибербезопасности обнаружили, что бот хранил данные соискателей под примитивнейшим паролем «123456», который мог позволить хакерам получить доступ к их персональной информации, включая имена, номера телефонов и емейлы. Об уязвимости рассказал Wired.
Дыры в системе обнаружили независимые исследователи Иэн Кэрролл и Сэм Карри. Простым подбором логина и пароля пароля «123456» они взломали базы данных платформы. По оценкам экспертов, утечке могли подвергнуться до 64 млн записей.
Кэрролл заинтересовался хайринговой найма McDonald’s из-за её необычного подхода — использования ИИ-бота вместо живых рекрутеров — и решил проверить, насколько защищены данные кандидатов. Уже через полчаса тестирования он получил доступ ко всем заявкам, поданным в McDonald’s за последние годы.
Представители компании Paradox.ai, разработавшей платформу чат-бота, подтвердили наличие уязвимости. По их словам, персональную информацию содержала лишь небольшая часть данных. Там добавили, что аккаунт с паролем «123456» не был взломан третьими лицами, а доступ к нему получили только исследователи. При этом в компании понимают серьёзность проблемы и уже разрабатывают программу баг-баунти.
В McDonald’s назвали прокол Paradox.ai неприемлемым. Фастфуд-сеть заявила, что уязвимость была устранена в тот же день, когда о ней стало известно, и что она требует от подрядчиков строгого соблюдать стандарты защиты данных.
Читать на dev.by