Головна Оперативка

Дані шукачів роботи в McDonald’s зламали за 30 секунд: чому базу контактів не врятував пароль “123456”

2 хвилин читання

Платформа, яка відбирає співробітників у McDonald’s, виявилася вразливою до злому. Двоє дослідників безпеки отримали доступ до особистих даних мільйонів шукачів роботи. Для цього достатньо було ввести пароль “123456”, пише Wired.

HR-бот McDonald’s ховав дані кандидатів за паролем 123456, і його зламали за 30 секунд. Фото: slovoidilo.ua 

Чому платформу, яка відбирає співробітників у McDonald’s, так легко зламати 

Підписуйтеся на наші соцмережі

  • На платформі McHire.com, яку McDonald’s використовує для рекрутингу, з кандидатами спілкується чатбот штучного інтелекту на імʼя Олівія. 
  • Вона приймає заявки, запитує резюме і направляє на тести.
  • Проте вразливість виявилася не в самому боті, а в доступі до бекенду.
  • Дослідники безпеки Ян Керролл і Сем Каррі натрапили на вхід до облікового запису Paradox.ai (компанії, яка створила McHire) і вирішили спробувати найпростіші варіанти паролів. 
  • Один із них, “123456”, відкрив доступ до повноцінного облікового запису з адміністраторськими правами, і на це знадобилося лише 30 секунд. 
  • У системі не було багатофакторної автентифікації, а обліковий запис не використовували з 2019 року, але він все ще працював.
  • Після входу в систему дослідники помітили, що можуть змінювати ідентифікатори заявників у URL-адресі, і таким чином відкривати чужі заявки, переглядати особисті дані і листування з ботом. Вони підтвердили наявність до 64 мільйонів записів.
Читайте також: Мережа ресторанів швидкого харчування McDonald’s почала випробування нової системи штучного інтелекту ArchIQ, яка самостійно приймає замовлення у Drive-Thru. Наразі технологію тестують у п’яти ресторанах у США, але в майбутньому її можуть масштабувати на значно більшу кількість закладів. 

У Paradox.ai підтвердили інцидент і заявили, що лише невелика частина записів містила персональні дані. У McDonald’s інцидент назвали “неприйнятним” і поклали відповідальність на стороннього постачальника.

На думку дослідників, небезпека у тому, що зловмисники могли видавати себе за представників McDonald’s і, маючи контактні дані, надсилати шахрайські листи з проханням надати, наприклад, банківські реквізити для “нарахування зарплати”.

Я ніколи б не припустив, що комусь має бути соромно працювати в McDonald’s. Але має бути соромно тим, хто залишив мільйони заявників без захисту, і ще й з паролем на кшталт “123456”.
Дослідник Ян Керролл 

Інші матеріали

McDonald's база даних шукачів роботи McHire рекрутинг у McDonald’s Редакція
Читати на speka.media