Хакеры сломали ШИ-бот McDonald’s для найма персонала, просто введя пароль 123456

Что произошло

Чат-бот на основе искусственного интеллекта Olivia, используемый McDonald’s для проверки кандидатов на работу, работает на платформе компании Paradox.ai. Эта система обладала критической уязвимостью: административный аккаунт можно было сломать, просто введя пароль «123456».

Исследователи по кибербезопасности Иэн Кэрролл и Сэм Карри обнаружили , что из-за слабого пароля, а также других простых уязвимостей, они получили доступ к учетной записи администратора платформы McHire.com. Это позволило им видеть архивы чатов с кандидатами, включая личные данные — имена, номера телефонов, электронную почту и ответы на собеседования. В общей сложности на платформе хранится до 64 миллионов таких записей.

McDonald’s заявил, что виновата именно посторонняя компания – Paradox.ai. Уязвимость была устранена в тот же день после уведомления о ней. В ответ Paradox.ai подтвердила, что доступ к административной учетной записи с паролем «123456» имели только исследователи, и компания уже вводит программу вознаграждений за обнаружение уязвимостей.

Почему это интересно

Кэрролл и Карри встретили уязвимость, тестируя чат-бот и подавая заявку на тестовую вакансию. Они обнаружили, что простое уменьшение идентификатора заявки позволяло просматривать информацию других кандидатов. При этом доступ к аккаунту был возможен без двухфакторной аутентификации.

Эти данные могут быть использованы злоумышленниками для фишинга — например, под видом рекрутеров McDonald’s, которые просят кандидатов направить финансовую информацию для якобы настройки зарплатного счета.

Что дальше

Компания Paradox.ai пообещала пересмотреть протоколы безопасности. Исследователи отметили, что данные, связанные с поиском работы в McDonald’s, особенно уязвимы, потому что речь идет о людях, которые находятся в состоянии ожидания ответов и могут стать легкой мишенью для мошенников.

Реклама у Vector

Нашли ошибку? Выделите ее и нажмите Ctrl+Enter