Как и многие крупные компании, McDonald’s использует платформу найма на основе искусственного интеллекта McHirere.com для изучения кандидатов на работу. В этот процесс входит чат-бот по имени Оливия, разработанный компанией Paradox AI, которая собирает личные данные у претендентов, направляет их к оценке личности и отвечает на базовые вопросы о компании (хотя иногда это делает плохо).
Два эксперта по кибербезопасности, Ян Кэрролл и Сэм Карри, недавно сообщили о наличии поразительных уязвимостей безопасности на этой платформе (первоначально обнаруженных Wired). В случае эксплуатации этих слабостей злоумышленниками они могли бы получить доступ ко всем прошлым чатам Оливии с кандидатами на должность в McDonald’s, а также к персональным данным.
Как преданный пользователь McHirer.com я недавно обнаружил ряд тревожных уязвимостей безопасности, выявленных Carroll и Curry. Эти проблемы варьировались от значительных пробелов в системе до совершенно забавных упущений на бэкенде платформы McHirer.com, которая используется большинством, но не всеми франчайзи компании. Невероятно, что этой паре удалось проникнуть в аккаунт paradox.ai и получить доступ к базам данных с чатовыми логами каждого кандидата – все благодаря методу, который поразил меня: они просто вошли под администратором, используя логин и пароль ‘123456’.
Информация потенциально доступная через этот источник включала примерно 64 миллиона записей, среди которых были имена, адреса электронной почты и номера телефонов.
Кэрролл отметил, что процесс найма МакХира выглядит удивительно антиутопическим по сравнению с обычными процедурами. Это заставило их заинтересоваться и углубиться в изучение сайта. Позже, когда они начали подавать заявления о приеме на работу, им предоставили доступ к почти всем заявкам, поданным в McDonald’s за годы всего лишь за 30 минут.
После изучения чат-бота исследователи решили зарегистрироваться как потенциальные франчайзи, в этот момент они обнаружили ссылку для доступа к сайту сотрудников Paradox.ai. Кэрролл попытался использовать два распространённых набора учётных данных: ‘admin’ и пароль, а также ‘123456’ и имя пользователя. Второй набор оказался верным.
Как энтузиаст своего дела, я смог получить администраторский доступ к фиктивному тестовому ресторану McDonald’s (тестовой едальне). Используя эту возможность, мы подали заявку на вакансию, изучили её и обнаружили ещё одну брешь в системе безопасности. Изменив идентификационный номер кандидата в нашем уже существующем приложении, нам удалось просмотреть дополнительные логи чата и чувствительные данные, которые они содержали. В итоге мы получили доступ к семи аккаунтам, пять из которых содержали личную информацию.
Важно уточнить: никакая информация о кандидатах не была скомпрометирована или раскрыта. Проблема безопасности на платформе McHirere была устранена. Кэрролл и Карри заслуживают признания (и пожизненного бесплатного Big Mac) за их роль в решении этой проблемы. Данный инцидент является ярким напоминанием о потенциальных слабых местах, которые могут существовать в системах управления конфиденциальными персональными данными, а также об оперативной возможности злоумышленников использовать такие уязвимости.
Представитель из Paradox Interactive подтвердил выводы исследователей безопасности и сообщил, что учетная запись с паролем «123456» не была доступна никому другому кроме её первоначального пользователя. Несмотря на то что они оперативно справились с проблемой, Paradox Interactive принимает полную ответственность за инцидент, подчеркивая, что такие вопросы для них крайне важны. Это заявление сделала Стефани Кинг, главный юрисконсульт компании.
Конечно, McDonald’s выбрал более простой путь и возложил ответственность на Paradox.ai за обнаруженную ими «неподходящую лазейку». Они подчеркнули, что этот вопрос был оперативно решен сразу же после того, как на него обратили внимание.
Смотрите также
- Список филлеров Наруто и Наруто Шиппудена: все эпизоды, которые можно пропустить.
- Консольные команды Сталкера 2 и чит-моды
- Читы Bellwright и консольные команды
- Лучшие слайдеры NHL 25 и как их использовать
- Некоторые графические карты Sapphire RX 9070/9070 XT содержат труднозаметную пену внутри, которую необходимо удалить, иначе это может привести к снижению охлаждающей способности или отказу продукта.
- Этот уютный симулятор фермерства — просто сонная лягушка, которая лениво грызет землю на вашем рабочем столе весь день. И это лучшие 4 доллара, которые я потратил за долгое время.
- Новый анимационный сериал ужасов от Netflix «Лето, в которое умер Хикару» выходит в этом году, и у него есть жуткий новый постер, задающий тон
- Лучшие моды от REPO: добавьте больше монстров, имитаций и стилей к жуткому кооперативному симулятору компании
- Быстрый обзор Fast Fusion: футуристические гонки, напоминающие WipeOut и F-Zero, блещут на Nintendo Switch 2
- Apex Legends – посмотрите кинематографический трейлер Altered Horizons
2025-07-10 21:02