Мільйони особистих даних кандидатів на роботу в McDonald’s опинилися під загрозою через серйозний недолік у системі безпеки чат-бота для найму персоналу. Експерт з кібербезпеки Іен Керрол виявив, що отримати доступ до адміністративної панелі чат-бота від компанії Paradox.ai можна, використовуючи надзвичайно прості облікові дані: логін і пароль “123456”.
Про це розповідає ProIT
Деталі інциденту: як сталася масштабна загроза
Ця вразливість дозволила потенційно отримати доступ до конфіденційної інформації близько 64 мільйонів осіб, які коли-небудь подавали заявки на роботу у McDonald’s. До вразливих даних належать імена, адреси, номери телефонів, електронні адреси, інформація про доступність до змін, а також токени авторизації. Платформа Paradox.ai, що займається автоматизацією процесу найму, обслуговує близько 90% ресторанів McDonald’s по всьому світу. Чат-бот Олівія, розроблений цією компанією, проводить попередні співбесіди, збирає анкети, проводить тести та передає їх дані менеджерам через захищену систему.
“Дані мільйонів людей, які колись подавали заявки на роботу в McDonald’s, опинилися під загрозою через серйозну прогалину в безпеці. Вразливість виявив фахівець із кібербезпеки Іен Керрол, який знайшов спосіб увійти в адмінпанель чат-бота для найму від компанії Paradox.ai – просто ввівши логін і пароль “123456”. Цього вистачило, щоб відкрити доступ до особистих даних близько 64 мільйонів кандидатів: імен, адрес, телефонів, електронної пошти, часу доступності для змін і навіть токенів авторизації”.
Проблеми у роботі бота та реакція компаній
Керролу довелося самостійно повідомляти про проблему, оскільки на сайті Paradox.ai не було навіть базової форми для звернення до технічної підтримки. Лише на початку липня компанія офіційно підтвердила усунення вразливості та подякувала досліднику за уважність. Окрім загрози безпеці, користувачі неодноразово скаржилися на роботу чат-бота Олівія: він часто зациклюється, перенаправляє кандидатів між сайтом і чатом, а відповіді залишаються шаблонними та малозмістовними. McDonald’s активно інтегрує штучний інтелект не лише у процеси підбору персоналу, а й у сенсори, системи контролю замовлень, голосові меню та інші бізнес-процеси.
Використання простих паролів, таких як “123456”, залишається поширеною проблемою серед компаній, які зберігають величезні обсяги персональних даних. Така недбалість є серйозною загрозою для безпеки приватної інформації користувачів по всьому світу.