Όπως πολλές μεγάλες εταιρείες, η McDonalds χρησιμοποιεί πλέον μια πλατφόρμα τεχνητής νοημοσύνης για προσλήψεις, το McHire.com, ώστε να αξιολογεί υποψηφίους για θέσεις εργασίας. Η διαδικασία περιλαμβάνει ένα chatbot με το όνομα Olivia, που έχει δημιουργηθεί από την Paradox.ai, το οποίο συλλέγει προσωπικά στοιχεία από τους αιτούντες, τους κατευθύνει σε ένα τεστ προσωπικότητας και απαντά σε βασικές ερωτήσεις για την εταιρεία (αν και μερικές φορές τα καταφέρνει πολύ άσχημα).
Δύο ερευνητές ασφάλειας, ο Ian Carroll και ο Sam Curry, αποκάλυψαν ότι μέχρι την προηγούμενη εβδομάδα η πλατφόρμα αυτή είχε σχεδόν απίστευτα κενά ασφαλείας (πρώτα αναφέρθηκε από το Wired). Αν αυτά τα κενά είχαν εντοπιστεί από κακόβουλους χρήστες, θα μπορούσαν να έχουν πρόσβαση σε όλο το περιεχόμενο των συνομιλιών της Olivia με υποψηφίους της McDonalds, συμπεριλαμβανομένων προσωπικών δεδομένων.
Ο Carroll και ο Curry εντόπισαν μια σειρά από σοβαρά και σε ορισμένες περιπτώσεις γελοία απλά λάθη ασφαλείας στο backend του McHire.com, το οποίο χρησιμοποιείται από πολλούς, αλλά όχι όλους, τους franchisees της εταιρείας. Οι δύο ερευνητές κατάφεραν να μπουν σε λογαριασμό της Paradox.ai και στις βάσεις δεδομένων με τα αρχεία συνομιλιών των υποψηφίων, και ο τρόπος ήταν πραγματικά απίστευτος: Το «χάκινγκ» έγινε με είσοδο σε λογαριασμό διαχειριστή όπου τόσο το όνομα χρήστη όσο και ο κωδικός ήταν “123456”.
Τα δεδομένα που θα μπορούσαν να έχουν διαρρεύσει περιλαμβάνουν 64 εκατομμύρια εγγραφές, μεταξύ των οποίων ονόματα, email και αριθμούς τηλεφώνου.
Ο Carroll εξηγεί γιατί αποφάσισαν να ερευνήσουν το site: «Απλώς σκέφτηκα ότι το McHire ήταν ιδιαίτερα δυστοπικό σε σχέση με μια κανονική διαδικασία πρόσληψης, σωστά; Αυτό με έκανε να θέλω να το ψάξω περισσότερο. Ξεκίνησα να κάνω αίτηση για δουλειά και μέσα σε 30 λεπτά είχαμε πλήρη πρόσβαση σχεδόν σε κάθε αίτηση που έχει γίνει στη McDonalds εδώ και χρόνια».
Αφού πειραματίστηκαν με το ίδιο το chatbot, οι ερευνητές αποφάσισαν να δοκιμάσουν να εγγραφούν ως franchisees, οπότε και βρήκαν έναν σύνδεσμο εισόδου για το προσωπικό της Paradox.ai. Ο Carroll δοκίμασε δύο από τα πιο συνηθισμένα σετ στοιχείων σύνδεσης: όνομα χρήστη και κωδικός “admin” και όνομα χρήστη και κωδικός “123456”. Το δεύτερο ήταν το σωστό.
Αυτό έδωσε στους Carroll και Curry δικαιώματα διαχειριστή σε ένα (ανύπαρκτο) δοκιμαστικό εστιατόριο της McDonalds, από όπου έκαναν αίτηση για μια δοκιμαστική θέση, την είδαν και στη συνέχεια ανακάλυψαν το επόμενο κενό ασφαλείας. Αλλάζοντας το ID του υποψηφίου στην υπάρχουσα αίτησή τους, μπορούσαν να δουν άλλες συνομιλίες και τα στοιχεία που περιείχαν. Συνολικά απέκτησαν πρόσβαση σε επτά λογαριασμούς, πέντε από τους οποίους είχαν προσωπικά δεδομένα.
Τα σημαντικότερα νέα για gaming, κριτικές και προσφορές hardware:
- Μείνετε ενημερωμένοι με τις πιο σημαντικές ειδήσεις και τις καλύτερες προσφορές, όπως τις επιλέγει η ομάδα του PC Gamer.
- Επικοινωνήστε μαζί μου για νέα και προσφορές από άλλα brands της Future.
- Λάβετε email από εμάς εκ μέρους αξιόπιστων συνεργατών.
(Πηγή εικόνας: Warner Bros.)
Για να είναι ξεκάθαρο: δεν υπήρξε παραβίαση ή διαρροή δεδομένων υποψηφίων, το συγκεκριμένο κενό έχει πλέον διορθωθεί στην πλατφόρμα McHire και οι Carroll και Curry αξίζουν συγχαρητήρια (και ίσως δωρεάν Big Macs για πάντα). Ωστόσο, αυτό δείχνει πόσο ανόητα κενά μπορεί να υπάρχουν σε συστήματα που διαχειρίζονται ευαίσθητα προσωπικά δεδομένα και πόσο εύκολα μπορούν να τα εκμεταλλευτούν κακόβουλοι χρήστες.
Εκπρόσωπος της Paradox.ai επιβεβαίωσε τα ευρήματα των ερευνητών, προσθέτοντας ότι ο λογαριασμός “123456” δεν χρησιμοποιήθηκε από κανέναν άλλον. Η Stephanie King, επικεφαλής νομική σύμβουλος της Paradox.ai, δήλωσε: «Δεν παίρνουμε το θέμα ελαφρά, παρόλο που επιλύθηκε γρήγορα και αποτελεσματικά. Αναλαμβάνουμε την ευθύνη».
Ε, ναι; Η McDonalds φυσικά έριξε την ευθύνη στην Paradox.ai για το «απαράδεκτο κενό ασφαλείας», τονίζοντας ότι το πρόβλημα «διορθώθηκε την ίδια μέρα που μας αναφέρθηκε».