Скандал із безпекою розгорівся навколо McDonald’s: дослідники виявили, що чат‑бот McHire — частина автоматизованої системи найму, працювала з надзвичайно слабким паролем “123456”. Через це могли бути скомпрометовані особисті дані понад 64 мільйонів людей, які подавалися на вакансії в компанії. Про це повідомляє TechCrunch посилаючись на Wired.
Фахівці з кібербезпеки Ієн Керролл та Сем Каррі провели короткий аудит системи McHire — чат‑бота, який обробляє заявки на роботу для McDonald’s. Упродовж кількох годин вони виявили, що вхід до адміністративного облікового запису можна було здійснити, використовуючи логін та пароль “123456”.
Крім цього, дослідники знайшли ще одну вразливість — у внутрішньому API. Вона дозволяла переглядати історії спілкування з ботом, включно з особистими даними: іменами, електронними адресами, телефонами та навіть домашніми адресами кандидатів.
Paradox.ai, компанія-розробник McHire, швидко відреагувала на інцидент. У офіційному блозі вона заявила, що всі виявлені проблеми були усунені впродовж кількох годин після звіту дослідників. Компанія також наголосила, що “на жодному етапі інформація кандидатів не була викладена у відкритий доступ”.
McDonald’s наразі не коментує інцидент напряму, але згідно з повідомленнями, вимагає від Paradox.ai зміцнення заходів безпеки та перегляду внутрішніх протоколів захисту даних.
Попри те, що інформація формально не була викладена у відкритий доступ, ризики залишаються. Кіберексперти застерігають, що подібні вразливості можуть бути використані для фішинг‑атак, підроблених повідомлень або шахрайських схем.
Інцидент також актуалізує питання відповідальності компаній, які впроваджують AI‑рішення без належного контролю безпеки. Особливо вразливими є системи, що працюють з персональними та конфіденційними даними.
