Южная Америка

В результате взлома системы безопасности стали известны данные миллионов соискателей работы в McDonald's

Новости Аргентины
В результате взлома системы безопасности стали известны данные миллионов соискателей работы в McDonald's
Чатбот по имени Оливия стал первым собеседованием для многих начинающих сотрудников McDonald's (в США). Разработанная компанией Paradox.ai, Olivia не только собирала личную информацию и резюме, но и проводила пользователей через личностные тесты, прежде чем направить их на финальный процесс. Но то, что казалось HR-инновацией, оказалось критической уязвимостью: миллионы конфиденциальных разговоров были раскрыты из-за элементарного недостатка безопасности. "Как выяснили исследователи Ян Кэрролл и Сэм Карри, система на McHire.com - сайте, который McDonald's и его франчайзи используют для управления заявками на работу - имела открытый бэкдор. Проверив такие простые учетные данные, как «admin» и „123456“, они смогли войти в административную платформу Paradox.ai и получить доступ к более чем 64 миллионам записей, включающих имена, электронные адреса и номера телефонов соискателей. "Открытие произошло почти случайно. По словам Карри и Кэролла, они начали изучать этот инструмент после того, как увидели на Reddit жалобы на плохую работу чат-бота Olivia, который путал или игнорировал основные вопросы соискателей. Заинтригованные «антиутопическим», по их мнению, подходом к найму персонала, они решили устроиться на работу, чтобы провести дальнейшее расследование. Но в процессе они нашли ссылку, которая привела их к доступу к платформе как члена Pardox.ai. Тогда они попробовали использовать самые распространенные в мире учетные данные пользователя - и наименее рекомендуемые. Там они смогли получить доступ к данным. «Paradox.ai» признала факт взлома в официальном заявлении, где подтвердила, что исследователи получили доступ к семи журналам, пять из которых содержали личные данные. Они уточнили, что скомпрометированный пользователь с паролем «123456» не использовался третьими лицами, не входящими в исследовательскую группу, и объявили о запуске программы вознаграждения для обнаружения будущих уязвимостей. «Мы не относимся к этому вопросу легкомысленно, хотя он был решен быстро и эффективно», - сказала WIRED Стефани Кинг, директор по правовым вопросам Paradox.ai. "В своем собственном заявлении для WIRED компания McDonald's указала на Paradox.ai в качестве виновника. "Мы разочарованы этой неприемлемой уязвимостью стороннего поставщика, Paradox.ai. Как только мы узнали о проблеме, мы приказали Paradox.ai немедленно устранить ее, и она была устранена в тот же день, когда нам сообщили о ней", - говорится в заявлении. «Мы очень серьезно относимся к кибербезопасности и будем продолжать требовать от наших сторонних поставщиков соблюдения наших стандартов защиты данных». "Риск, однако, не ограничивался раскрытием имен и электронных адресов. По словам исследователей, сочетание личных данных и свидетельств поиска работы в McDonald's - во многих случаях минимально оплачиваемой - может быть использовано для фишинговых афер - типа кибератак, когда злоумышленники выдают себя за законные организации, под видом фальшивых рекрутеров запрашивая банковскую информацию или платежи. «Если бы кто-то воспользовался этой брешью, риск мошенничества был бы огромен», - предупредил Карри. «Это не просто личная информация: это конфиденциальная информация людей, которые ждут новостей, чтобы работать». Кэрролл, который выразил свое уважение к работникам «Макдоналдса», в заключение сказал, размышляя о раскрытии данных: "Речь идет не о том, чтобы кого-то пристыдить. Я сам постоянно хожу в «Макдоналдс». Но когда вы раскрываете что-то настолько интимное, как поиск работы, ответственность должна быть серьезной".
Подпишитесь на наш Телеграм-канал "Новости Аргентины"