McDonald’s зберігав дані 64 мільйонів кандидатів на роботу під паролем “123456”: виявлено критичну вразливість

У платформі для найму персоналу McDonald’s виявили грубу помилку в системі захисту: чат-бот зі штучним інтелектом зберігав чутливу інформацію кандидатів на роботу під вкрай ненадійним паролем «123456». Це створювало потенційну загрозу витоку особистих даних близько 64 мільйонів претендентів. Про це повідомляє видання Wired.

Мова йде про платформу McHire, яка використовує AI-бота на ім’я Олівія для автоматичної взаємодії з кандидатами. Проблему виявили дослідники з кібербезпеки Ієн Керролл та Сем Каррі. За їх словами, вони змогли отримати доступ до бази даних, просто підібравши логін і ввівши пароль «123456». У результаті їм відкрилася інформація про імена, електронні адреси, телефони та навіть переписку кандидатів із ботом.

Крім того, сайт Ian.sh повідомляє, що бот зберігав дані претендентів у незахищеній формі, а додатково було виявлено ще одну уразливість, яка дозволяла стороннім бачити історію взаємодії кандидатів із системою.

Платформу розробила компанія Paradox.ai, яка в офіційному коментарі підтвердила інцидент. Там уточнили, що обліковий запис із простим паролем не був зламаний сторонніми особами — лише самими дослідниками. Уразливість оперативно усунули й запевнили, що персональні дані витоку не зазнали. Водночас у компанії пообіцяли створити програму баг-баунті для уникнення подібних ситуацій у майбутньому.

У McDonald’s, який є замовником сервісу, ситуацію назвали «неприйнятною» та заявили, що очікують від партнерів найвищих стандартів безпеки. За словами представників компанії, уразливість було закрито в день її виявлення, і зараз вживаються заходи для посилення контролю над дотриманням норм кіберзахисту.

Інцидент ще раз продемонстрував, наскільки небезпечним може бути ігнорування базових правил кібергігієни навіть у складних системах зі штучним інтелектом.