Исследователи в области безопасности обнаружили критическую уязвимость в системе найма McDonald’s, управляемой ИИ, известной как McHire. Эта уязвимость могла привести к утечке данных соискателей из-за простой ошибки в пароле. Однако, данные кандидатов не были обнародованы, и только пять записей были кратковременно просмотрены исследователями, которые своевременно сообщили о проблеме.
Уязвимость в системе найма McDonald’s: факты и последствия
30 июня исследователи безопасности Ян Кэрролл и Сэм Карри протестировали платформу McHire, управляемую Paradox.ai, компанией, отвечающей за чат-бота для найма «Оливия» от McDonald’s. Всего за 30 минут они обнаружили, что могут войти в тестовый аккаунт Paradox, используя слабый пароль «123456». Этот доступ позволил им просматривать записи взаимодействий, связанных с клиентом Paradox — McDonald’s.
Paradox.ai оперативно изучила проблему и устранила её в течение нескольких часов после уведомления. В общей сложности исследователи просмотрели семь записей взаимодействий, из которых пять содержали имена, электронные адреса, телефонные номера и IP-адреса кандидатов из США. Важно, что эти записи были доступны только для проверки проблемы и не были обнародованы в сети.
Реакция McDonald’s и ответственность поставщиков
McDonald’s выразили разочарование в уязвимости, заявив: «Мы разочарованы этой неприемлемой уязвимостью от стороннего поставщика Paradox.ai. Как только мы узнали о проблеме, потребовали немедленного её решения, и она была устранена в тот же день.»
Компания подтвердила свою приверженность защите данных, отметив, что инцидент затронул только одну организацию, и другие клиенты Paradox не пострадали.
Уроки кибербезопасности
Случай с McHire подчеркивает более широкие вызовы, стоящие перед платформами на базе ИИ. По мере ускорения автоматизации также растут и требования к безопасности. Эксперты подчеркивают необходимость строгих политик паролей, использования многофакторной аутентификации и регулярных аудитов безопасности для предотвращения подобных ситуаций.
«Искусственный интеллект в найме набирает обороты, но многие организации не успевают за требованиями безопасности, которые с этим связаны», — отметила аналитик по кибербезопасности Лаура Чен.
Ответственность и надзор
Инцидент также поднимает вопросы о рисках, связанных с третьими сторонами, и корпоративной ответственности. Несмотря на то, что McDonald’s быстро указала на Paradox.ai как источник проблемы, эксперты подчеркивают, что в глазах клиентов и соискателей конечная ответственность всегда лежит на бренде.
Реакция индустрии и дальнейшие шаги
В ответ Paradox.ai запускает программу вознаграждений за обнаруженные уязвимости, чтобы стимулировать этическое хакерство и укрепить защиту. Компания также представила более четкие каналы для сообщения о проблемах безопасности.
Уважение к работникам и защита данных
Защитники безопасности подчеркивают, что все данные соискателей, независимо от уровня должности, должны быть защищены. «Независимо от того, идет ли речь о кандидатуре на должность генерального директора или рядового сотрудника, они имеют право на защиту своей информации», — сказал Кэрролл.
Инцидент с McHire напоминает, что доверие, прозрачность и ответственность являются неотъемлемыми в цифровую эпоху как для технологических поставщиков, так и для глобальных брендов, которые на них полагаются.
Интересно, как быстро была устранена уязвимость. Это показывает, что компании действительно могут оперативно реагировать на проблемы безопасности. Однако, вызывает беспокойство, как такие простые проблемы, как слабые пароли, все еще существуют. Надеюсь, это послужит уроком для других организаций.