Hakerzy w 30 minut dostali się do bazy danych osób rekrutowanych do McDonald's. To 64 miliony aplikacji. Łatwo poszło, bo hasło było łatwe: 123456

Pozyskano dane milionów ludzi. Hakerzy włamali się do chatbota rekrutującego pracowników dla McDonald'sa. Zadanie nie było zbyt trudne, bo wystarczyło wpisać hasło „123456”. W wyniku tej operacji przejęli dane 64 milionów kandydatów. Słabe zabezpieczenia sprawiły, że dane osobowe dziesiątek milionów osób poszukujących pracy w McDonald's stały się łatwym łupem na stronie internetowej „McHire” stworzonej przez firmę zajmującą się oprogramowaniem AI, Paradox.ai. McHire.com to strona internetowa McDonald's, z której korzysta wielu franczyzobiorców do obsługi podań o pracę . Ludzie przechodzą tam proces rekrutacyjny, a ich dane pobierane są przez chabota „Olivię”. Działa ona w oparciu o sztuczną inteligencję, prowadząc dialog z kandydatami do pracy i egzekwując od nich dane – m.in. adres email, personalia, numery telefonów itp.

Każdy haker mógł uzyskać dostęp

Do niedawna platforma obsługująca „Olivię”, zajmującą się oprogramowaniem opartym na sztucznej inteligencji, miała poważne luki w zabezpieczeniach. W rezultacie niemal każdy haker mógł uzyskać dostęp do zapisów wszystkich rozmów „Olivii” z kandydatami do pracy w McDonald's. W praktyce wystarczyło odgadnąć, że nazwa użytkownika i hasło do konta administratora to „123456”.

Zobacz także: McDonald’s zasypany zarzutami. Ponad 700 poszkodowanych

Tę „słabość” systemu ujawnili kilka dni temu dwaj testerzy zabezpieczeń internetowych – Ian Carroll i Sam Curry. Jak informuje portal wired.com łatwo uzyskali oni dostęp do konta Paradox.ai i przeszukali bazy danych firmy, w których znajdowały się wszystkie rozmowy użytkowników McHire z „Olivią”. Dane te obejmują prawdopodobnie aż 64 miliony osób.

W prosty sposób „rozwalił system”

Ian Carroll ujawnił prosty sposób w jaki „rozwalił system”. – Aplikowałem na stanowisko i po 30 minutach mieliśmy pełny dostęp do praktycznie wszystkich aplikacji, jakie kiedykolwiek wpłynęły do McDonald's , nawet sprzed lat – przyznał tester zabezpieczeń informatycznych, cytowany przez wired.

Zobacz także: Komiczne wpadki sztucznej inteligencji McDonald’s. Koniec eksperymentu

Amerykański portal zwrócił się o komentarz w tej sprawie do Paradox.ai oraz McDonald's. Pierwsza firma potwierdziła ustalenia Carrolla i Curry'ego. Stwierdzono m.in., że do konta administratora z hasłem „123456”, nie miały dostępu osoby trzecie i tylko część nazwisk do których uzyskali dotęp testerzy systemu zawierała więcej wrażliwych danych. McDonald's całą winę przerzucił na Paradox.ai, a przedstawiciele słynnej sieci fast foodów stwierdzili jeszcze, że są „rozczarowani tą niedopuszczalną luką w zabezpieczeniach”.