Серйозна вада безпеки в платформі рекрутингу McDonald’s на базі штучного інтелекту викрила особисту інформацію потенційно 64 мільйонів кандидатів на роботу.
Платформа McHire, розроблена Paradox.ai та оснащена чат-ботом зі штучним інтелектом на ім’я Олівія, мала базові вразливості автентифікації та не мала критичних засобів контролю безпеки.
Дослідники з безпеки Ієн Керролл та Сем Каррі виявили, що вони можуть отримати доступ до системи, використовуючи слабкі облікові дані за замовчуванням — просто ім’я користувача та пароль «123456».
Цей інцидент підкреслює серйозні прогалини в кібербезпеці автоматизованих систем найму та викликає нагальне занепокоєння щодо захисту даних в HR-інструментах на базі штучного інтелекту. McHire розроблений для оптимізації рекрутингу у франчайзингових ресторанах McDonald’s шляхом використання штучного інтелекту для перевірки кандидатів, збору контактної інформації та оцінки придатності.
Чат-бот Olivia взаємодіє з кандидатами, використовуючи обробку природної мови, але користувачі часто повідомляють про проблеми з неправильним спілкуванням та нечіткими підказками. Оскільки формується ширший зсув до автоматизації найму, McHire є спробою масштабувати зусилля з найму без розширення штату HR-відділу.
Однак, згідно з висновками дослідників, серверна інфраструктура системи, яка містить мільйони резюме, журналів чатів та оцінок, була критично незахищеною.
Після того, як атаки швидкого впровадження не вдалися, дослідники зосередилися на механізмах входу та виявили портал персоналу Paradox.ai, посилання на який наведено на головній сторінці McHire.
Використовуючи прості комбінації паролів та атаки за словником, вони могли отримати доступ до системи з паролем «123456», обходячи стандартні протоколи безпеки. Що ще більш тривожно, обліковий запис не мав двофакторної автентифікації, що забезпечувало необмежений доступ до адміністративних інструментів та записів кандидатів.
Врзливість IDOR
Звідти дослідники виявили вразливість Insecure Direct Object Reference (IDOR), яка дозволяла обхід бази даних заявника шляхом маніпулювання ідентифікаційними номерами.
Збільшивши числовий ідентифікатор заявника вище 64 мільйонів, вони могли переглядати кілька записів, що містили імена, адреси електронної пошти, номери телефонів та журнали чатів. Хоча під час тестування було розглянуто лише сім записів, п’ять містили особисту інформацію, що підкреслює масштаб впливу.
Paradox.ai наполягав, що лише частина записів містить конфіденційні дані, але дослідники попереджали про ризики фішингу, пов’язані з видаванням себе за рекрутерів McDonald’s. Ці дані можуть бути використані для шахрайства, пов’язаного з нарахуванням заробітної плати, або для збору додаткової конфіденційної інформації під хибним приводом.
McDonald’s визнав порушення та висловив розчарування щодо дій стороннього постачальника з урахуванням основних заходів безпеки.
Paradox.ai підтвердила наявність вразливостей та оголосила про програму винагороди за виявлені помилки, щоб стимулювати дослідників повідомляти про недоліки до того, як їх буде використано. Викритий обліковий запис був неактивним тестовим обліковим записом, створеним у 2019 році, який ніколи належним чином не вимикався, що свідчить про низьку гігієну розробки.
Обидві компанії зобов’язалися провести подальше розслідування цього питання та запровадити суворіші запобіжні заходи, оскільки пильність за підзвітністю використання штучного інтелекту під час найму продовжує зростати.
