Хакеры сломали ШИ-бот McDonald’s для найма персонала, просто введя пароль 123456
64 млн анкет кандидатов на работу в McDonald’s оказались в открытом доступе после того, как хакеры сломали их ШИ-бот для найма. Причиной стал слишком простой пароль – 123456. Об этом пишет Wired.
Что произошло
Чат-бот на основе искусственного интеллекта Olivia, используемый McDonald’s для проверки кандидатов на работу, работает на платформе компании Paradox.ai. Эта система обладала критической уязвимостью: административный аккаунт можно было сломать, просто введя пароль «123456».
Исследователи по кибербезопасности Иэн Кэрролл и Сэм Карри обнаружили , что из-за слабого пароля, а также других простых уязвимостей, они получили доступ к учетной записи администратора платформы McHire.com. Это позволило им видеть архивы чатов с кандидатами, включая личные данные — имена, номера телефонов, электронную почту и ответы на собеседования. В общей сложности на платформе хранится до 64 миллионов таких записей.
McDonald’s заявил, что виновата именно посторонняя компания – Paradox.ai. Уязвимость была устранена в тот же день после уведомления о ней. В ответ Paradox.ai подтвердила, что доступ к административной учетной записи с паролем «123456» имели только исследователи, и компания уже вводит программу вознаграждений за обнаружение уязвимостей.
Почему это интересно
Кэрролл и Карри встретили уязвимость, тестируя чат-бот и подавая заявку на тестовую вакансию. Они обнаружили, что простое уменьшение идентификатора заявки позволяло просматривать информацию других кандидатов. При этом доступ к аккаунту был возможен без двухфакторной аутентификации.
Эти данные могут быть использованы злоумышленниками для фишинга — например, под видом рекрутеров McDonald’s, которые просят кандидатов направить финансовую информацию для якобы настройки зарплатного счета.
Что дальше
Компания Paradox.ai пообещала пересмотреть протоколы безопасности. Исследователи отметили, что данные, связанные с поиском работы в McDonald’s, особенно уязвимы, потому что речь идет о людях, которые находятся в состоянии ожидания ответов и могут стать легкой мишенью для мошенников.