McDonald’s AI najímání Bot odhalil miliony údajů žadatelů hackerům pomocí hesla „123456“

Pokud chcete Dnes v McDonald’s je velká šance, že budete muset mluvit s Olivií. Olivia není ve skutečnosti lidskou bytostí, ale místo toho AI chatbot, který promítá uchazeče, žádá o jejich kontaktní informace a resumé, nasměruje je na test osobnosti a občas je dělá „zblázněním“ opakovaně nedorozuměním jejich nejzákladnějších otázek.

Až do minulého týdne byla platforma, která provozuje Olivia Chatbot, postavenou softwarovou firmou Artificial Intelligence Paradox.ai, také absurdně základní bezpečnostní nedostatky. Výsledkem je, že prakticky každý hacker mohl přistupovat k záznamům každého chatu, jaký kdy měl Olivia s uchazeči McDonald – včetně všech osobních údajů, které v těchto rozhovorech sdíleli – s triky tak přímými jako hádání uživatelského jména a hesla „123456.“

Ve středu vědci v oblasti bezpečnosti Ian Carroll a Sam Curry odhalili, že našli jednoduché metody proniknout do backendu platformy AI Chatbot na webu McHire.com, McDonald’s, které mnoho z jejích franšízantů používá k zpracování pracovních aplikací. Carroll a Curry, hackeři s dlouhým záznamem nezávislého testování zabezpečení, zjistili, že jednoduché webové zranitelnosti-včetně hádání jednoho smíchu slabého hesla-jim umožnily získat přístup k účtu Paradox.ai a dotazovat se na databáze společnosti, které držely každé chaty s Olivií. Zdá se, že údaje zahrnují až 64 milionů záznamů, včetně jmen uchazečů, e -mailových adres a telefonních čísel.

Carroll říká, že pouze zjistil, že otřesný nedostatek bezpečnosti ohledně informací žadatelů, protože ho McDonaldovo rozhodnutí zaujalo podrobení potenciálních nových nájemů na Screener AI Chatbot a testu osobnosti. „Jen jsem si myslel, že to bylo docela jedinečně dystopické ve srovnání s normálním procesem najímání, že? A to je to, co mě přimělo, abych se na něj chtěl více podívat,“ říká Carroll. „Takže jsem začal žádat o práci, a pak jsme po 30 minutách měli plný přístup k prakticky každé aplikaci, která byla kdy učiněna McDonald’s vracející se roky.“

Když Wired oslovil McDonald’s a Paradox.ai pro komentář, mluvčí Paradox.ai sdílel blogový příspěvek, který společnost plánovala zveřejnit, které potvrdily zjištění Carroll a Curry. Společnost poznamenala, že pouze zlomek záznamů Carroll a Curry obsahoval osobní údaje a uvedla, že ověřil, že účet s heslem „123456“, které odhalilo informace, „nebyla dostupná žádnou třetí stranou“ jinou než vědci. Společnost také dodala, že zavádí program Bug Bounty, aby v budoucnu lépe zachytil bezpečnostní zranitelnosti. „Nebereme tuto záležitost lehce, i když to bylo vyřešeno rychle a efektivně,“ řekl v rozhovoru hlavní právní ředitel Paradox.ai Stephanie King. „Vlastníme to.“

McDonald’s ve svém vlastním prohlášení k Wired souhlasil s tím, že Paradox.ai měl na vině. „Jsme zklamáni touto nepřijatelnou zranitelností od poskytovatele třetích stran Paradox.ai. Jakmile jsme se o této záležitosti dozvěděli, nařídili jsme Paradox.ai, aby problém okamžitě napravil, a bylo vyřešeno ve stejný den, kdy nám bylo hlášeno,“ čte prohlášení. „Náš závazek považujeme za kybernetickou bezpečnost vážně a budeme i nadále udržovat naše poskytovatele třetích stran odpovědných za splnění našich standardů ochrany údajů.“