McDonald's rekrutował za pośrednictwem chatbota, wyciekły dane kandydatów

W poniedziałek, 30 czerwca, eksperci ds. cyberbezpieczeństwa Ian Carroll i Sam Curry postanowili zinfiltrować zaplecze sztucznej inteligencji (AI) chatbota McDonald's. Szybko odkryli, że jest to o wiele prostsze niż się spodziewali, co doprowadziło do ujawnienia poufnych informacji od osób, które aplikowały o pracę w sieci fast-foodów za pośrednictwem stworzonego w tym celu asystenta AI.

5ea737e4f924993b028e40e3ad790bf4, Biznes Fakty
Rekrutacja do McDonald's za pomocą chatbota. Wyciek milionów danych | Zdjęcie: Robert V Schwemmer / Shutterstock
  • Ian Carroll i Sam Curry odkrywają luki w zabezpieczeniach chatbota rekrutacyjnego McDonald's
  • Z powodu słabego hasła do konta testowego, dane osobowe kandydatów, w tym adresy e-mail i numery telefonów, były łatwo dostępne.
  • Dostawca platformy, Paradox.ai, zauważył problem i zaktualizował swoje protokoły bezpieczeństwa, uruchamiając akcję nagród za wykryte błędy.
  • McDonald's skrytykował Paradox.ai, podkreślając zaangażowanie firmy w bezpieczeństwo danych i szybkie rozwiązanie problemu.
  • Luka w zabezpieczeniach zagroziła bezpieczeństwu danych w 64 milionach rekordów, co podkreśla konieczność wzmocnienia środków bezpieczeństwa w systemach sztucznej inteligencji.
  • Więcej informacji o biznesie znajdziesz na stronie Businessinsider.com.pl

McDonald's zatrudnia opartego na sztucznej inteligencji chatbota Olivię do rekrutacji nowych pracowników. Ostatnio platforma ujawniła poważne luki w zabezpieczeniach, które umożliwiały hakerom dostęp do danych osobowych kandydatów, takich jak imię i nazwisko, adres e-mail i numer telefonu. Specjaliści ds. cyberbezpieczeństwa, Ian Carroll i Sam Curry, ujawnili, że dostęp do systemu McHire.com był zaskakująco łatwy i szybki .

McDonald's rekrutowany przez chatbota. Wyciek danych w niecałe trzydzieści minut

Carroll zainteresował się bezpieczeństwem McHire po przejrzeniu wątku na Reddicie, w którym użytkownicy wyrażali niezadowolenie z nieefektywności chatbota i serii nielogicznych, niezrozumiałych odpowiedzi lub zapytań. Wraz z Samem Currym zaczął wchodzić w interakcję z chatbotem, badając go pod kątem luk w zabezpieczeniach typu „prompt injection”, które mogłyby pozwolić użytkownikom przejąć kontrolę nad dużym modelem językowym i obejść jego zabezpieczenia za pomocą określonych poleceń. Po niezauważeniu żadnych takich luk, postanowili zbadać, co by się stało, gdyby użytkownicy zarejestrowali się jako franczyzobiorcy McDonald's, aby uzyskać dostęp do zaplecza witryny. Zamiast tego zauważyli link do logowania na McHire.com dla pracowników Paradox.ai, firmy odpowiedzialnej za stworzenie witryny.

  • Kontrowersje w sektorze sztucznej inteligencji. Grok Elona Muska chwali Hitlera i krytykuje polskich polityków. Minister odpowiada.

Niewiele pozostało do zrobienia. Jak opisują mężczyźni, wystarczyło wpisać nazwę użytkownika i odgadnąć hasło, które nie było szczególnie trudne: „123456”. Takie środki bezpieczeństwa chroniły bazę danych zawierającą 64 miliony rekordów, w tym imiona, nazwiska, numery telefonów i adresy e-mail.

Jak stwierdził Carroll w wywiadzie dla Wired, w ciągu zaledwie pół godziny uzyskał „pełny dostęp do praktycznie każdego wniosku, jaki kiedykolwiek wpłynął do McDonald’s”.

„Żaden z naszych testów penetracyjnych nie wykrył tego problemu”

Paradox.ai, firma stojąca za platformą rekrutacyjną, potwierdziła te doniesienia. Zapewniła również, że problem został szybko rozwiązany i że wdrożyła program nagród za błędy , aby zapobiec podobnym problemom w przyszłości.

„Używając nieaktualnego hasła, badacze uzyskali dostęp do konta testowego Paradox powiązanego z pojedynczą instancją kliencką Paradox. Zmieniliśmy nasze standardy bezpieczeństwa haseł od momentu powstania konta, ale hasło do tego konta testowego nigdy nie zostało zaktualizowane. Po zalogowaniu się na konto testowe badacze odkryli lukę w zabezpieczeniach punktu końcowego API, która umożliwiła im dostęp do informacji związanych z interakcjami czatu na zainfekowanej instancji klienckiej. Niestety, żaden z naszych testów penetracyjnych nie zidentyfikował wcześniej tego problemu” – czytamy w oświadczeniu.

  • Google Chrome zacznie tracić udziały w rynku. OpenAI i Perplexity rozwijają swoje przeglądarki

Firma podkreśliła, że tylko niewielka część dokumentacji, do której uzyskali dostęp Carroll i Curry, zawierała dane osobowe.

McDonald's wyraził frustrację tą sytuacją, pociągając Paradox.ai do odpowiedzialności za niedopuszczalne uchybienia w zakresie bezpieczeństwa. Sieć podkreśliła, że traktuje cyberbezpieczeństwo poważnie i dokłada wszelkich starań, aby utrzymać wysokie standardy ochrony danych.

„Jesteśmy zniechęceni tą niedopuszczalną luką w zabezpieczeniach zewnętrznego dostawcy oprogramowania, Paradox.ai. Po wykryciu problemu, zwróciliśmy się do firmy z prośbą o natychmiastowe zajęcie się nim, a problem został rozwiązany tego samego dnia, w którym zgłoszono nam jego istnienie” – zapewnił gigant w pisemnym oświadczeniu dla Wired.

Dziękujemy za przeczytanie tego artykułu. Bądź na bieżąco! Obserwuj nas w Google News.

Źródło

No votes yet.
Please wait...
Tagi

Podobne wpisy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *