В системе подбора персонала McDonald’s обнаружили серьезную брешь в безопасности, и все из-за банального пароля «123456». Два специалиста по кибербезопасности, Иэн Кэрролл и Сэм Карри, всего за полчаса получили администраторский доступ к платформе McHire.com. Именно там чат-бот Olivia проводил первичный отбор кандидатов.
Хакеры взломали ИИ-бота McDonald’s для найма сотрудников. Он был защищен паролем «123456»
Если вы думали, что используете плохие пароли, просто вспоминайте об этой истории.
Unsplash
Проблема заключалась в том, что один из аккаунтов был защищен крайне слабым паролем. Используя его, исследователи смогли получить доступ ко всей базе данных: имена, телефоны, электронные адреса и даже полные переписки с ботом — около 64 миллионов записей.
Кроме того, уязвимость позволяла просто менять ID в адресной строке браузера, чтобы просматривать чужие анкеты. Все данные оказались реальными, и любая случайная попытка открывала информацию о настоящих людях.
Разработчик платформы, компания Paradox.ai, признала утечку и в своем блоге пообещала укрепить защиту системы. Главный юрисконсульт компании Стефани Кинг заявила, что проблема уже устранена, и, по их данным, никто, кроме самих исследователей, не успел получить доступ к данным. В ближайшее время Paradox.ai планирует запустить программу поиска уязвимостей (bug bounty), чтобы предотвратить подобные инциденты в будущем.
McDonald’s, в свою очередь, выпустила заявление, в котором потребовала от Paradox.ai срочно исправить проблему. Компания также пообещала более строго контролировать работу подрядчиков.
Эксперты предостерегают, что утечка может спровоцировать волну фишинговых атак. Злоумышленники могут выдавать себя за рекрутеров McDonald’s и, например, просить «соискателей» предоставить банковские данные для «оформления зарплатного перевода».
Подобные истории ярко демонстрируют, что главной уязвимостью большинства систем все еще является человек. Каким бы защищенным не было программное обеспечение, человеческая беспечность, невнимательность и неосторожность, способны похоронить потенциал любой системы.
Собственно, поэтому многие хакерские атаки направлены, в первую очередь, на человека. Те же фишинговые рассылки, позволяющие получить доступ к чувствительным системам, сработают только в том случае, если человек, получивший письмо, имел неосторожность его открыть и перейти по ссылке.
И об этом следует помнить: никакой антивирус, защищенные браузеры и ОС не спасут от хакеров и мошенников, если не придерживаться базовых правил безопасности. И использование сложных паролей — одно из таких правил. Есть и другая полезная привычка для тех, кто хочет избежать взломов — здоровая подозрительность. Нужно критически относиться к любой информации и думать прежде, чем действовать.