ИИ-бот для найма сотрудников McDonald's раскрыл исследователям данные миллионов соискателей

Cпециалисты по кибербезопасности Иэн Кэрролл и Сэм Карри сообщили, что нашли простые способы взлома бэкенда платформы чат-ботов с искусственным интеллектом на сайте McHire.com, который используют в McDonald's для обработки резюме. В итоге они получили данные миллионов соискателей.

Для того, чтобы устроиться в McDonald's, соискатели общаются с чат‑ботом «Оливия». Он проверяет кандидатов, запрашивает их контактную информацию и резюме, а также направляет их на личностный тест.

До прошлой недели платформа, на которой работает «Оливия», разработанная компанией Paradox.ai, была подвержена уязвимостям безопасности. В результате практически любой хакер мог получить доступ к записям всех чатов ИИ-бота с кандидатами на работу. Административный интерфейс для владельцев ресторанов принимал стандартные логин и пароль «123456». При этом внутренний API содержал уязвимость типа IDOR (Insecure Direct Object Reference), позволяющую получить доступ к любым чатам и контактам.

Исследователи прошли процесс подачи заявки через сайт McHire. Кэрролл и Карри обнаружили, что простые веб-уязвимости, включая подбор одного слабого пароля, позволяли им получить доступ к учётной записи Paradox.ai и выполнить запросы к базам данных компании, где хранились все чаты пользователей McHire с «Оливией». Для этого было достаточно менять идентификаторы. 

Полученные данные содержат около 64 млн записей, включая имена, адреса электронной почты и номера телефонов кандидатов.

Кэрролл отмечает: «Я начал искать работу, и через 30 минут мы получили полный доступ практически ко всем заявкам, когда-либо поданным в McDonald’s за последние годы». 

В Paradox.ai подтвердили результаты проверки безопасности. Компания заявила, что доступ к учётной записи со слабым паролем получили