Серьезная уязвимость в платформе найма McHire, используемой McDonald’s, привела к потенциальной утечке данных около 64 миллионов соискателей. Об этом пишет издание Wired.
Как выяснилось, ИИ-бот по имени Olivia, созданный компанией Paradox.ai, хранил конфиденциальную информацию кандидатов, включая имена, номера телефонов и электронные адреса, под паролем «123456».
Об этом инциденте сообщили исследователи в области кибербезопасности Иен Керролл и Сэм Карри. Они провели несанкционированное, но этичное тестирование системы, в ходе которого, используя базовый метод перебора, смогли получить доступ к закрытым данным за час.
Керролл рассказал, что его внимание привлек необычный формат рекрутинга через чат-бот. Заинтересовавшись, он решил проверить, насколько безопасно хранятся данные пользователей платформы. Выяснилось, что даже базовые меры защиты не соблюдаются.
Paradox.ai подтвердила факт существования уязвимости, однако заявила, что в большинстве скомпрометированных записей не было полных персональных данных. Также было уточнено, что доступ получили только исследователи, а не злоумышленники. Тем не менее компания пообещала усилить внутреннюю политику безопасности и внедрить программу поиска уязвимостей.