Чат-бот на основе искусственного интеллекта Olivia интегрирован в McDonald’s и запрашивает при приеме на работу у кандидатов важную информацию, такую как имена и контактные данные.
Как сообщает Wired, серьезная уязвимость системы безопасности в платформе подачи заявок на основе искусственного интеллекта позволила хакерам получить доступ к конфиденциальным данным миллионов соискателей вакансий.
Чат-бот на основе искусственного интеллекта Olivia был разработан американской компанией Paradox.ai. Он напрямую интегрирован в McHire.com — центральную платформу подбора персонала McDonald’s. Чат-бот Olivia должен был собирать первоначальную информацию о кандидатах. Чат-бот имел тенденцию неправильно интерпретировать многие вопросы и поэтому часто вызывал разочарование у соискателей вакансий.
Однако то, что обнаружили исследователи безопасности Ян Кэрролл и Сэм Карри во время тестирования платформы, оказалось более серьезной проблемой. Они узнали о платформе из постов на Reddit, в которых кандидаты жаловались на бота. Исследователи начали взаимодействовать с ИИ, чтобы проверить его на наличие потенциальных уязвимостей. Они быстро обнаружили, что могут войти в бэкэнд системы McHire, используя пароль «123456» без двухфакторной аутентификации. Это дало им доступ к журналам чатов и контактным данным миллионов соискателей вакансий по всему миру.
В сообщении в блоге компания Paradox.ai подтвердила факт инцидента и подчеркнула, что несанкционированного доступа, за исключением двух исследователей, не было. Уязвимость была устранена в день ее обнаружения.
Уязвимость, по-видимому, затронула тестовую версию платформы, которая не использовалась с 2019 года и никогда не деактивировалась. Сообщается, что в общей сложности доступ был получен к 64 миллионам записей данных, включая имена, адреса электронной почты и номера телефонов.
Даже несмотря на то, что эта личная информация не считается особо конфиденциальной по сравнению с банковскими или медицинскими данными, эксперты по безопасности все равно видят огромный потенциал для ее неправомерного использования. Сочетание данных заявок и того факта, что пострадавшие лица активно ищут работу, делает их уязвимыми для целевых фишинговых атак. Например, мошенники могут делать вид, что запрашивают банковские реквизиты для выплаты зарплаты от имени McDonald's, — классический пример мошенничества.
В данном случае McDonald’s возложил ответственность на своего партнера Paradox.ai.
«Мы серьезно относимся к нашим обязательствам в области кибербезопасности и продолжим требовать от наших сторонних поставщиков ответственности за соблюдение наших стандартов конфиденциальности данных», — заявил представитель сети ресторанов быстрого питания изданию Wired.
Тем не менее, инцидент подчеркивает риски, возникающие в условиях, когда централизованные процессы подачи заявок становятся все более автоматизированными и большому количеству соискателей вакансий приходится проходить через системы, контролируемые искусственным интеллектом. Сам исследователь по вопросам безопасности Ян Кэрролл заявил, что решение McDonald's сначала направлять кандидатов к чат-боту показалось ему антиутопичным.