Час читання: < 1 хв.
Дані мільйонів людей, які колись подавали заявки на роботу в McDonald’s, опинилися під загрозою через серйозну прогалину в безпеці. Вразливість виявив фахівець із кібербезпеки Іен Керрол, який знайшов спосіб увійти в адмінпанель чат-бота для найму від компанії Paradox.ai – просто ввівши логін і пароль “123456”. Цього вистачило, щоб відкрити доступ до особистих даних близько 64 мільйонів кандидатів: імен, адрес, телефонів, електронної пошти, часу доступності для змін і навіть токенів авторизації.
Платформа Paradox.ai обслуговує більшість франшиз McDonald’s – близько 90% ресторанів мережі. Чат-бот Олівія проводить перші співбесіди, збирає анкетні дані, проводить прості тести й передає все це через закриту систему менеджерам. Керрол випадково знайшов приховане посилання на сторінку входу для співробітників Paradox і спробував найпростішу комбінацію пароля – вона спрацювала.
Реклама
Проблему довелося повідомляти напряму: на сайті Paradox не було навіть форми для зв’язку з техпідтримкою. Лише на початку липня компанія підтвердила, що діру в безпеці закрили, і подякувала досліднику.
Крім цього, сам ШІ-бот Олівія часто працює не дуже коректно. Користувачі вже скаржилися, що бот зациклюється, відправляє людей то на сайт, то назад у чат, а на питання відповідає шаблонно і безглуздо. McDonald’s активно впроваджує ШІ не тільки у підбір персоналу, а й в інші процеси – сенсори, контролі замовлень, голосові меню.
Найгірше, що пароль “123456” досі залишається одним із найпопулярніших у світі. Така недбалість у компаніях, які зберігають мільйони особистих даних, – це вже не дрібна помилка, а серйозна загроза для користувачів.
