64 млн анкет кандидатів на роботу в McDonald’s опинились у відкритому доступі після того, як хакери зламали їхній ШІ-бот для наймання. Причиною став надто простий пароль — 123456. Про це пише Wired.
Що сталося
Чат-бот на основі штучного інтелекту Olivia, який McDonald’s використовує для перевірки кандидатів на роботу, працює на платформі компанії Paradox.ai. Ця система мала критичну вразливість: адміністративний акаунт можна було зламати, просто ввівши пароль «123456».
Дослідники з кібербезпеки Ієн Керролл і Сем Каррі виявили, що через слабкий пароль, а також інші прості вразливості, вони отримали доступ до облікового запису адміністратора платформи McHire.com. Це дало змогу їм бачити архіви чатів із кандидатами, включно з особистими даними — іменами, номерами телефонів, електронною поштою та відповідями на співбесіди. Загалом на платформі зберігається до 64 мільйонів таких записів.
McDonald’s заявив, що винна саме стороння компанія — Paradox.ai. Вразливість була усунена того ж дня після повідомлення про неї. У відповідь Paradox.ai підтвердила, що доступ до адміністративного облікового запису з паролем «123456» мали лише дослідники, і компанія вже запроваджує програму винагород за виявлення вразливостей.
Чому це цікаво
Керролл і Каррі натрапили на уразливість, тестуючи чат-бот та подаючи заявку на тестову вакансію. Вони виявили, що просте зменшення ідентифікатора заявки дозволяло переглядати інформацію інших кандидатів. При цьому доступ до акаунта був можливий без двофакторної автентифікації.
Ці дані можуть бути використані зловмисниками для фішингу — наприклад, під виглядом рекрутерів McDonald’s, які просять кандидатів надіслати фінансову інформацію для нібито налаштування зарплатного рахунку.
Що далі
Компанія Paradox.ai пообіцяла переглянути безпекові протоколи. Дослідники зазначили, що дані, пов’язані з пошуком роботи в McDonald’s, особливо вразливі, бо йдеться про людей, які перебувають у стані очікування відповідей і можуть стати легкою мішенню для шахраїв.