Нова функція

Слухай статті з Respeecher

Нова функція дозволяє слухати статті в зручному форматі завдяки технології від Respeecher. Насолоджуйтесь контентом у будь-який час – у дорозі, під час тренувань або відпочинку.

00:00 00:00

Наступні статті

Завантажується ⟳

Голос

Вибір голосу

Вибір голосу

Наступні статті

Завантажується ⟳

00:00 00:00

НОВИНИ

Хакери зламали ШІ-бот McDonald’s для наймання персоналу, просто ввівши пароль 123456

11 Липня 2025, 17:30

2 хв читання

Марія Молдавчук Редакторка стрічки новин

Режим читання увімкнено

Режим читання збільшує текст, прибирає всю зайву інформацію зі сторінки і дозволяє зосередитися на матеріалі. Тут ви можете вимкнути його в будь-який момент.

Режим читання

Завершити

64 млн анкет кандидатів на роботу в McDonald’s опинились у відкритому доступі після того, як хакери зламали їхній ШІ-бот для наймання. Причиною став надто простий пароль — 123456. Про це пише Wired.

Що сталося

Чат-бот на основі штучного інтелекту Olivia, який McDonald’s використовує для перевірки кандидатів на роботу, працює на платформі компанії Paradox.ai. Ця система мала критичну вразливість: адміністративний акаунт можна було зламати, просто ввівши пароль «123456».

Дослідники з кібербезпеки Ієн Керролл і Сем Каррі виявили, що через слабкий пароль, а також інші прості вразливості, вони отримали доступ до облікового запису адміністратора платформи McHire.com. Це дало змогу їм бачити архіви чатів із кандидатами, включно з особистими даними — іменами, номерами телефонів, електронною поштою та відповідями на співбесіди. Загалом на платформі зберігається до 64 мільйонів таких записів.

McDonald’s заявив, що винна саме стороння компанія — Paradox.ai. Вразливість була усунена того ж дня після повідомлення про неї. У відповідь Paradox.ai підтвердила, що доступ до адміністративного облікового запису з паролем «123456» мали лише дослідники, і компанія вже запроваджує програму винагород за виявлення вразливостей.

Чому це цікаво

Керролл і Каррі натрапили на уразливість, тестуючи чат-бот та подаючи заявку на тестову вакансію. Вони виявили, що просте зменшення ідентифікатора заявки дозволяло переглядати інформацію інших кандидатів. При цьому доступ до акаунта був можливий без двофакторної автентифікації.

Ці дані можуть бути використані зловмисниками для фішингу — наприклад, під виглядом рекрутерів McDonald’s, які просять кандидатів надіслати фінансову інформацію для нібито налаштування зарплатного рахунку.

Що далі

Компанія Paradox.ai пообіцяла переглянути безпекові протоколи. Дослідники зазначили, що дані, пов’язані з пошуком роботи в McDonald’s, особливо вразливі, бо йдеться про людей, які перебувають у стані очікування відповідей і можуть стати легкою мішенню для шахраїв.