Утечка персональных данных в McDonalds из-за примитивного пароля

Из-за уязвимости в системе безопасности произошла утечка персональных данных в McDonald’s. Утечка персональных данных стала следствием использования слабого пароля в аккаунте администратора. Хакеры могли получить доступ к миллионам записей конфиденциальной информации. Эта утечка персональных данных вызывает серьезные опасения по поводу безопасности систем найма персонала на основе искусственного интеллекта.

Исследователи безопасности Иэн Кэрролл (Ian Carroll) и Сэм Карри (Sam Curry) обнаружили, что платформа McHire, которую компания McDonald’s использует для найма персонала, позволяла получать доступ к данным соискателей. Эта платформа разработана компанией Paradox.ai, занимающейся созданием ПО на основе искусственного интеллекта. Как выяснили исследователи, хакеры могли получать доступ к базам данных соискателей, используя такие простые учётные данные, как имя пользователя и смехотворно простой пароль «123456».

Платформа McHire компании McDonald’s включает чат-бот по имени «Оливия» для оптимизации процесса подбора персонала для франчайзинговых точек. Эта автоматизированная система, созданная на основе технологий искусственного интеллекта, проводит первичный отбор кандидатов, собирает контактную информацию и резюме, а также распределяет кандидатов на основе оценки их личности.

Чат-бот использует алгоритмы обработки естественного языка для взаимодействия с соискателями, хотя многие соискатели сообщали о неприятном опыте, связанном с неспособностью ИИ правильно понимать базовые запросы.

Так или иначе, платформа McHire представляет собой значительный шаг вперед в сфере управления персоналом с помощью искусственного интеллекта. Алгоритмы машинного обучения позволяют заменить рекрутеров на начальных этапах найма.

Однако, это технологическое достижение сопровождалось серьезной уязвимостью в системе безопасности. В результате были скомпрометированы персональные данные соискателей.

На первом этапе проверки безопасности платформы исследователи пытались найти уязвимости, связанные с «атакой внедрения запроса» (prompt injection) — техникой манипулирования масштабными языковыми моделями, когда злоумышленники отправляют определенные команды для обхода защиты ИИ. Когда специалисты убедились в безуспешности таких атак, они переключились на изучение механизмов аутентификации платформы.

На втором этапе исследователей ждало поразительное открытие: Кэрролл обнаружил ссылку для входа сотрудников Paradox.ai на сайт McHire.com и попытался использовать для входа распространённые комбинации учётных данных. Довольно быстро эксперт смог получить доступ к панели администратора, подобрав пароль — «123456». Необходимо отметить, что в скомпрометированной учетной записи привилегированного пользователя отсутствовала многофакторная аутентификация — фундаментальный элемент безопасности, который мог бы предотвратить несанкционированный доступ.

Попав в систему, исследователи обнаружили в базе соискателей McDonalds уязвимость типа IDOR — «незащищенная прямая ссылка на объект». С ее помощью человек со стороны может получить доступ к внутренним объектам без проверки прав доступа.

Подставляя идентификационные номера соискателей, исследователи смогли просматривать персональные данные. Всего в базе содержалась информация более 64 млн человек, включая такие данные, как имена, адреса электронной почты, номера телефонов и историю чатов за несколько лет.

Компании McDonald’s и Paradox.ai признали факт инцидента, выразив озабоченность по поводу серьезности нарушения в системе безопасности.

Стефани Кинг (Stephanie King), директор по юридическим вопросам Paradox.ai, подтвердила выводы исследователей и сообщила о запуске системы вознаграждений за обнаружение уязвимостей продуктов компании в будущем.

В компании Paradox.ai подчеркнули, что скомпрометированная учётная запись была тестовой и оставалась неактивной с 2019 года. Она давно должна была быть закрыта, что свидетельствует о низком уровне безопасности в процессе разработки.

Источник: Cyber Security News