Крупный скандал в сфере информационной безопасности разразился вокруг McDonald’s после того, как исследователи обнаружили критическую уязвимость в системе искусственного интеллекта, отвечающей за подбор персонала. Оказалось, что база данных с информацией миллионов соискателей была защищена элементарным паролем "123456", что позволило злоумышленникам получить полный доступ к конфиденциальным данным. Проблема затронула платформу McHire.com, которую франчайзи сети используют для найма сотрудников. В частности, уязвимость коснулась чат-бота "Olivia", разработанного компанией Paradox.ai. Этот ИИ-ассистент автоматизирует процесс отбора кандидатов, ведя диалоги и собирая персональные данные.
Исследователи Иэн Кэрролл и Сэм Карри, занимающиеся кибербезопасностью, выявили проблему в течение всего 30 минут. Они попробовали стандартные комбинации логина и пароля, и оказалось, что доступ к админ-панели системы можно получить, просто введя "123456". Получив контроль над бэкендом Paradox.ai, они смогли просматривать данные миллионов пользователей, включая их имена, электронные почты, номера телефонов и даже полные истории переписки с ботом.
Но на этом проблемы не закончились. Эксперты также обнаружили вторую серьёзную уязвимость: изменяя идентификаторы записей в базе данных, они могли получать доступ к информации случайных соискателей. Это подтвердило, что система не имела должной защиты на уровне API или баз данных, что делало её лёгкой мишенью для злоумышленников.
Paradox.ai, разработчик системы, признала факт утечки в своём блоге, заявив, что инцидент был оперативно устранён. "Мы не воспринимаем эту ситуацию легкомысленно. Хотя проблема была решена быстро и эффективно, мы берём на себя ответственность", - заявила Стефани Кинг, главный юрисконсульт компании. В качестве меры предотвращения подобных инцидентов в будущем Paradox.ai анонсировала программу вознаграждений за обнаружение уязвимостей (bug bounty).
McDonald’s, в свою очередь, выразил недовольство действиями подрядчика, подчеркнув, что потребовал немедленного исправления ошибок. Корпорация заявила, что будет строже контролировать соблюдение стандартов защиты данных среди партнёров. Однако этот случай вновь поднял вопрос о безопасности автоматизированных систем найма, особенно когда речь идёт о персональных данных людей, находящихся в поиске работы и потому уязвимых перед мошенническими схемами.
Специалисты по кибербезопасности предупреждают: утекшие данные могут быть использованы для фишинговых атак. Злоумышленники, зная детали переписки с ботом, могут выдавать себя за представителей McDonald’s и запрашивать у соискателей дополнительные сведения, например, реквизиты банковских карт под предлогом оформления зарплатных выплат.
Для миллионов людей, чьи данные оказались под угрозой, последствия могут быть долгосрочными. Фишинг, кража личных данных, звонки мошенников - лишь часть возможных проблем. Потребители редко задумываются о том, насколько защищены их персональные данные при взаимодействии с автоматизированными системами, но этот случай лишний раз доказывает: доверять свою информацию компаниям без проверки их безопасности - рискованно.
Пока же McDonald’s и Paradox.ai разбираются с последствиями утечки, пользователям рекомендуется быть осторожнее с письмами и сообщениями, якобы поступающими от рекрутеров компании. Лучший способ защититься - не передавать конфиденциальные данные без дополнительной проверки и использовать двухфакторную аутентификацию там, где это возможно.
Инцидент с McHire.com - это не просто единичный провал в безопасности, а серьёзный сигнал для всей индустрии. Автоматизация процессов - это будущее, но без должного внимания к защите данных оно может оказаться не таким безоблачным, как кажется.
