Данные миллионов соискателей McDonald’s были скомпрометированы из-за уязвимости в боте для найма на базе искусственного интеллекта.

Анонимный источник сообщает о результатах расследования, опубликованных в Wired: если вы претендуете на работу в McDonald's сегодня, велика вероятность, что вам придется пообщаться с Оливией. Оливия – это не человек, а AI-чат-бот, который отбирает кандидатов, запрашивает контактную информацию и резюме, направляет их на прохождение личностного теста и иногда "сводит с ума", неоднократно неправильно понимая даже самые простые вопросы. До прошлой недели платформа, на которой работает чат-бот Оливия, разработанная компанией Paradox.ai, имела серьезные уязвимости в системе безопасности. В результате практически любой хакер мог получить доступ к записям всех бесед Оливии с кандидатами в McDonald's, включая всю личную информацию, которую они предоставили.

Исследователи в области безопасности, Иан Кэрролл (Ian Carroll) и Сэм Карри (Sam Curry), обнаружили простые способы взломать бэкенд AI-чат-бота на сайте McHire.com, который используется многими франчайзи McDonald's для обработки заявок на работу. Кэрролл и Карри, хакеры с большим опытом независимого тестирования безопасности, обнаружили, что простые веб-уязвимости, включая угадывание крайне слабого пароля, позволили им получить доступ к учетной записи Paradox.ai и запросить базы данных компании, содержащие записи всех бесед с Оливией. Данные включают в себя около 64 миллионов записей, включая имена, адреса электронной почты и номера телефонов кандидатов.

Кэрролл утверждает, что обнаружил вопиющее отсутствие безопасности информации о кандидатах, потому что его заинтересовало решение McDonald's подвергать потенциальных сотрудников проверке с помощью AI-чат-бота и личностного теста. "Я просто подумал, что это довольно уникальная антиутопия по сравнению с обычным процессом найма, верно? И это заставило меня захотеть изучить это более подробно", – говорит Кэрролл. "Итак, я начал подавать заявку на работу, и через 30 минут у нас был полный доступ практически ко всем заявкам, которые когда-либо поступали в McDonald's за последние годы". Paradox.ai подтвердила выводы об уязвимости, признав, что к полученным записям содержалась личная информация лишь в небольшой части случаев. Компания заявила, что к учетной записи со слабым паролем ("123456") имели доступ только исследователи. Чтобы предотвратить подобные проблемы в будущем, Paradox запускает программу вознаграждения за обнаружение ошибок. "Мы серьезно относимся к этому вопросу, даже несмотря на то, что он был решен быстро и эффективно", – заявила главный юрисконсульт Paradox.ai, Стефани Кинг (Stephanie King), в интервью изданию WIRED. "Мы берем на себя ответственность за это".

В заявлении, сделанном изданию WIRED, McDonald's согласилась с тем, что виной всему компания Paradox.ai. "Мы разочарованы этой неприемлемой уязвимостью со стороны стороннего поставщика, Paradox.ai. Как только мы узнали об этой проблеме, мы потребовали от Paradox.ai немедленно ее устранить, и это было сделано в тот же день, когда она была нам сообщена", – говорится в заявлении. "Мы серьезно относимся к нашей приверженности кибербезопасности и будем продолжать привлекать наших сторонних поставщиков к ответственности за соблюдение наших стандартов защиты данных".