Серйозна вразливість у платформі найму McHire, що використовується McDonald’s, призвела до потенційного витоку даних близько 64 мільйонів претендентів. Про це пише видання Wired.
Як з’ясувалося, ШІ-бот на ім’я Olivia, створений компанією Paradox.ai, зберігав чутливу інформацію кандидатів, включаючи імена, номери телефонів та електронні адреси, під паролем «123456».
Про цей інцидент повідомили дослідники в галузі кібербезпеки Ієн Керролл і Сем Каррі. Вони провели несанкціоноване, але етичне тестування системи, під час якого, використовуючи базовий метод перебору, змогли отримати доступ до закритих даних за годину.
Керролл розповів, що його увагу привернув незвичайний формат рекрутингу через чат-бот. Зацікавившись, він вирішив перевірити, наскільки безпечно зберігаються дані користувачів платформи. З’ясувалося, що навіть базових заходів захисту не дотримано.
Paradox.ai підтвердила факт існування вразливості, проте заявила, що у більшості скомпрометованих записів не було повних персональних даних. Також було уточнено, що доступ отримали лише дослідники, а не зловмисники. Проте компанія пообіцяла посилити внутрішню безпекову політику та впровадити програму пошуку вразливостей.