McDonald’s хранил данные 64 миллионов кандидатов на работу под паролем «123456»: обнаружена критическая уязвимость

В платформе для найма персонала McDonald’s обнаружили грубую ошибку в системе защиты: чат-бот с искусственным интеллектом хранил чувствительную информацию кандидатов на работу под крайне ненадежным паролем «123456». Это создавало потенциальную угрозу утечке личных данных около 64 миллионов претендентов. Об этом сообщает издание Wired.

Речь идет о платформе McHire, использующей AI-бота по имени Оливия для автоматического взаимодействия с кандидатами. Проблему обнаружили исследователи по кибербезопасности Иен Кэрролл и Сэм Карри. По их словам, они смогли получить доступ к базе данных, просто подобрав логин и введя пароль «123456». В результате им открылась информация об именах, электронных адресах, телефонах и даже переписке кандидатов с ботом.

Кроме того, сайт Ian.sh сообщает, что бот хранил данные претендентов в незащищенной форме, а дополнительно была обнаружена еще одна уязвимость, позволявшая посторонним видеть историю взаимодействия кандидатов с системой.

Платформу разработала компания Paradox.ai, которая в официальном комментарии подтвердила инцидент. Там уточнили, что аккаунт с простым паролем не был сломан посторонними лицами — только самими исследователями. Уязвимость оперативно устранили и заверили, что персональные данные утечки не получили. В то же время в компании пообещали создать программу баг-баунти во избежание подобных ситуаций в будущем.

В McDonald’s, являющемся заказчиком сервиса, ситуацию назвали «неприемлемой» и заявили, что ожидают от партнеров самых высоких стандартов безопасности. По словам представителей компании, уязвимость была закрыта в день ее обнаружения, и сейчас принимаются меры по усилению контроля за соблюдением норм киберзащиты.

Инцидент еще раз продемонстрировал, насколько опасно может быть игнорирование базовых правил кибергигиены даже в сложных системах с искусственным интеллектом.