Миллионы личных данных кандидатов на работу в McDonald’s оказались под угрозой из-за серьезного недостатка в системе безопасности чат-бота для найма персонала. Эксперт по кибербезопасности Иэн Керрол обнаружил, что получить доступ к административной панели чат-бота от компании Paradox.ai можно, используя чрезвычайно простые учетные данные: логин и пароль “123456”.
Об этом сообщает ProIT
Детали инцидента: как произошла масштабная угроза
Эта уязвимость позволила потенциально получить доступ к конфиденциальной информации около 64 миллионов человек, которые когда-либо подавали заявки на работу в McDonald’s. К уязвимым данным относятся имена, адреса, номера телефонов, электронные адреса, информация о доступности для смен, а также токены авторизации. Платформа Paradox.ai, занимающаяся автоматизацией процесса найма, обслуживает около 90% ресторанов McDonald’s по всему миру. Чат-бот Оливия, разработанный этой компанией, проводит предварительные собеседования, собирает анкеты, проводит тесты и передает их данные менеджерам через защищенную систему.
«Данные миллионов людей, которые когда-либо подавали заявки на работу в McDonald’s, оказались под угрозой из-за серьезной уязвимости в безопасности. Уязвимость обнаружил специалист по кибербезопасности Иэн Керрол, который нашел способ войти в админпанель чат-бота для найма от компании Paradox.ai – просто введя логин и пароль “123456”. Этого было достаточно, чтобы открыть доступ к личным данным около 64 миллионов кандидатов: имен, адресов, телефонов, электронной почты, времени доступности для смен и даже токенов авторизации».
Проблемы в работе бота и реакция компаний
Керролу пришлось самостоятельно сообщать о проблеме, поскольку на сайте Paradox.ai не было даже базовой формы для обращения в техническую поддержку. Лишь в начале июля компания официально подтвердила устранение уязвимости и поблагодарила исследователя за внимательность. Кроме угрозы безопасности, пользователи неоднократно жаловались на работу чат-бота Оливия: он часто зацикливается, перенаправляет кандидатов между сайтом и чатом, а ответы остаются шаблонными и малозначительными. McDonald’s активно интегрирует искусственный интеллект не только в процессы подбора персонала, но и в сенсоры, системы контроля заказов, голосовые меню и другие бизнес-процессы.
Использование простых паролей, таких как “123456”, остается распространенной проблемой среди компаний, которые хранят огромные объемы персональных данных. Такая небрежность является серьезной угрозой для безопасности личной информации пользователей по всему миру.