McDonald's rekrutuje przez AI. Hasło do platformy brzmiało "123456"
Miliony danych osobowych kandydatów do pracy w McDonald's były narażone na wyciek z powodu spektakularnie słabego hasła. Specjaliści ujawnili poważną lukę.
Platforma rekrutacyjna McDonald's, obsługiwana przez AI chatbot o nazwie Olivia, okazała się mieć poważne luki w zabezpieczeniach. Hakerzy mogli uzyskać dostęp do danych osobowych kandydatów, w tym ich imion, adresów e-mail i numerów telefonów. Jak informuje Wired, zawiodło hasło – w tym przypadku niepokojąco banalne.
Słabe zabezpieczenia w McHire
Ian Carroll i Sam Curry – specjaliści od cyberbezpieczeństwa – ujawnili, że można było łatwo włamać się do systemu McHire.com - ten jest używany przez McDonald's do obsługi aplikacji o pracę. Wystarczyło wprowadzić nazwę użytkownika i zgadnąć hasło, które nie było zbyt wyrafinowane: "123456". Takie zabezpieczenia stały na straży ochrony bazy danych zawierającej 64 miliony rekordów.
Carroll zainteresował się bezpieczeństwem McHire po przeczytaniu wątku na Reddicie, w którym skarżono się na nieefektywność chatbota. Po krótkim czasie specjaliści uzyskali pełny dostęp do aplikacji, co pozwoliło im na przeglądanie danych osobowych kandydatów.
Dalsza część artykułu pod materiałem wideo
Doświadczanie wydarzeń muzycznych w XXI w. | Historie Jutra
Paradox.ai, firma odpowiedzialna za platformę, potwierdziła te doniesienia. Firma zapewniła, że problem został szybko rozwiązany i wprowadziła program nagród za wykrywanie błędów, aby zapobiec podobnym sytuacjom w przyszłości.
Używając starego hasła, badacze zalogowali się na konto testowe Paradox powiązane z pojedynczą instancją klienta Paradox. Zaktualizowaliśmy nasze standardy bezpieczeństwa haseł od momentu utworzenia konta, ale hasło tego konta testowego nigdy nie zostało zaktualizowane. Po zalogowaniu się na konto testowe badacze zidentyfikowali lukę w zabezpieczeniach punktu końcowego API, która umożliwiła im dostęp do informacji związanych z interakcjami czatu w zagrożonej instancji klienta. Niestety, żaden z naszych testów penetracyjnych nie zidentyfikował wcześniej tego problemu.
Dodatkowo firma zauważyła, że tylko ułamek rekordów, do których dostęp uzyskali Carroll i Curry, zawierał dane osobowe.
Reakcja McDonald's
McDonald's wyraził rozczarowanie z powodu tej sytuacji, obwiniając Paradox.ai za niedopuszczalne luki w zabezpieczeniach. Firma podkreśliła, że poważnie traktuje kwestie cyberbezpieczeństwa i zobowiązała się do utrzymania wysokich standardów ochrony danych.
Eksperci ostrzegają, że takie wycieki danych mogą prowadzić do prób wyłudzeń, gdzie oszuści podszywają się pod rekruterów McDonald's, prosząc jednocześnie o wrażliwe dane. Ryzyko phishingu jest realne, zwłaszcza dla osób poszukujących pracy – niejednokrotnie zdesperowanych i skłonnych do udostępnienia wielu danych.
