Text brut din chat -uri cu 64 de milioane de solicitanți expuși
Facepalm: Aproape oricine a solicitat să lucreze la McDonald’s la începutul acestui an, poate să -și fi expus numele, numărul de telefon, adresa de e -mail, adresa fizică și alte informații personale. Cercetătorii de securitate au intrat fără efort în sistemul administrativ care supraveghează interacțiunile solicitanților cu chatbot -ul AI generativ care efectuează cele mai multe interviuri de muncă.
Cercetătorul de securitate Ian Carroll s -a conectat cu succes la un cont administrativ pentru Paradox.ai, compania care a construit McDonald’s AI Job Intervievator, folosind „123456” atât ca nume de utilizator, cât și ca parolă. Examinarea codului site -ului intern a acordat rapid accesul la textul brut de la fiecare chat pe care l -a realizat vreodată.
Aplicațiile de locuri de muncă la 90 % din francizele McDonald’s efectuează interviuri cu Chatbot -ul AI Paradox, numit Olivia. AI colectează nume, locații, adrese de e -mail, numere de telefon, disponibilitate de schimb și alte informații personale înainte de a efectua teste de personalitate rudimentare. Supraveghetorii umani vizualizează și accesează aceste informații folosind conturi administrative Paradox.
Deși site-ul de angajare McDonald’s încearcă să-i împingă pe utilizatori către o singură conectare, Carroll a observat un link în text mic care a dus la o pagină de conectare a angajaților Paradox. Șocant, a acceptat numele de utilizator și parola implicite, dezvăluind imediat lucrările interioare ale sistemului.
După ce a descoperit o API în codul site -ului, Carroll a declinat parametrul principal al unei cereri XHR pentru un chat de testare, care a acordat acces la istoricul de chat al Oliviei pentru 64 de milioane de solicitanți. Pe lângă datele cu caracter personal, scurgerea dezvăluie și jetoane de autentificare și modificări ale statutului de angajare.
Mai mult, atunci când Carroll a încercat să alerteze paradoxul asupra încălcării, el nu a putut găsi un contact de dezvăluire a securității. Pagina de securitate a companiei constă în cea mai mare parte dintr -o simplă asigurare că utilizatorii nu ar trebui să se îngrijoreze de securitate. În cele din urmă, după ce cercetătorii au trimis prin e -mail „People aleatorii”, Paradox și McDonald’s a confirmat că au rezolvat problema la începutul lunii iulie.
Carroll a observat, de asemenea, o gamă relativ limitată a Oliviei, care au trasate ridicolul online. Un Redditor a împărtășit capturi de ecran dintr -o conversație în care Olivia le -a îndreptat către site -ul de angajare al lanțului, care i -a trimis înapoi la chatbot. Când solicitantul s -a plâns, AI a răspuns nonsensic.
Angajarea este departe de singura zonă în care McDonald’s a integrat AI în operațiunile sale. În martie, compania a anunțat planurile de utilizare a tehnologiei pentru administrare, echipamente de detectare, comenzi de verificare și alte sarcini. Anul trecut, McDonald’s a încheiat teste pentru un sistem AI Drive-thru dezvoltat de IBM.
În ciuda pericolelor evidente ale utilizării „123456” ca parolă, acesta apare în mod regulat în listele celor mai frecvente acreditări.
