Исследователи в области безопасности обнаружили, что могут получить доступ к личным данным 64 миллионов людей, подававших заявки на работу в McDonald’s. Основным способом стал вход в чат-бот для приёма на работу компании, использующий ИИ, с логином и паролем «123456».
Как написали Иэн Кэрролл и Сэм Карри в своём блоге [https://ian.sh/mcdonalds], «во время краткой проверки безопасности» они обнаружили проблему с паролем и ещё одну уязвимость [https://techcrunch.com/2023/07/27/cisa-nsa-australia-idor-flaws/] во внутреннем API. Это позволило получить доступ к истории общения кандидатов с чат-ботом McHire, разработанным для McDonald’s компанией Paradox.ai.
Среди персональных данных, которые увидели исследователи, были имена, электронные адреса, домашние адреса и номера телефонов соискателей.
В посте Paradox.ai [https://www.paradox.ai/blog/responsible-security-update] сообщается, что проблемы были устранены «в течение нескольких часов» после уведомления исследователей, и «никакая информация о кандидатах не попала в интернет или публичный доступ».
Первыми о находке исследователей сообщило издание Wired [https://www.wired.com/story/mcdonalds-ai-hiring-chat-bot-paradoxai/].