Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Рекрутинговый ИИ-бот McDonald’s раскрыл данные миллионов соискателей из-за пароля «123456» (http://txgate.io:443/showthread.php?t=51301829)

Artifact 07-16-2025 08:57 AM
<div id="post_message_802673">

Известные ИБ-эксперты и багхантеры Сэм Карри (Sam Curry) и Иэн Кэрролл (Ian Carroll) <a href="https://ian.sh/mcdonalds" target="_blank">обнаружили</a>, что чат-бот Olivia, с помощью которого McDonald’s нанимает сотрудников, раскрывал данные соискателей. Всего в базе насчитывалось более 64 млн записей.<br/>
<br/>
Исследователи заинтересовались происходящим, увидев на Reddit многочисленные <a href="https://www.reddit.com/r/mildlyinfuriating/comments/1lo9s75/mcdonalds_hiring_ai_is_making_me_go_insane/" target="_blank">жалобы </a>пользователей на «неадекватные» ответы Olivia.<br/>
<br/>
Olivia работает на платформе компании Paradox.ai, занимающейся разработкой ИИ-софта. Бот используется McDonald’s для отбора кандидатов, запрашивает их контактную информацию и резюме, а также направляет их на прохождение тестов. Порой ИИ неправильно понимает даже самые простые вопросы, благодаря чему и «прославился» в соцсетях.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Я подумал, что это довольно уникально и антиутопично по сравнению с обычным процессом найма. Именно поэтому я захотел разобраться в этом подробнее, — рассказывает Кэрролл. — Я начал подавать заявку на трудоустройство, и уже через 30 минут у нас был полный доступ практически ко всем заявкам, которые когда-либо подавались в McDonald's за многие годы».</font>
</td>
</tr>
</table>
</div>Изначально специалисты хотели протестировать Olivia на уязвимость к инъекциям промптов, однако не обнаружили ничего интересного. Тогда они решили проверить, что произойдет, если они зарегистрируются в качестве франчайзи McDonald's, желая попытаться получить доступ к бэкенду сайта. Но вместо этого эксперты обнаружили на сайте McHire.com любопытную ссылку для входа в систему для сотрудников Paradox.ai.<br/>
<br/>
Кэрролл пишет, что для начала опробовал два наиболее распространенных набора учетных данных: сначала «admin/admin», а затем «123456/123456». И вторая из этих двух комбинаций сработала.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Это более распространенное явление, чем можно подумать, — отмечает исследователь. — Также оказалось, что на странице входа в систему Paradox.ai нет многофакторной аутентификации».</font>
</td>
</tr>
</table>
</div>С помощью этих учетных данных Кэрролл и Карри получили административный доступ к тестовому ресторану McDonald's на McHire и выяснили, что все сотрудники, которые там числятся — это разработчики Paradox.ai из Вьетнама.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/07/536539/w1920quality90fitscale-down.jpg"/><br/>
<br/>
Также они нашли ссылку на очевидные тестовые вакансии для этого несуществующего McDonald's, кликнули на одну вакансию, подали заявку и увидели свою собственную заявку в бэкенд-системе, к которому теперь имели доступ. После этого Кэрролл и Карри обнаружили вторую критическую уязвимость в McHire. Попытавшись изменить ID своей заявки (число, превышавшее 64 млн), они поняли, что могут просто уменьшать число и получать доступ данным других соискателей и их контактной информации (в том числе именам, адресам электронной почты и номерам телефонов).<br/>
<br/>
Исследователи не решились массово запрашивать доступ к записям, опасаясь нарушения конфиденциальности и обвинений во взломе. Однако они проверили несколько ID и получили реальные данные настоящих людей.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/07/536539/w1920quality90fitscale-down2jpg.jpg"/><br/>
<br/>
Эксперты отмечают, что личная информация, раскрытая в результате этих проблем, не относилась к разряду наиболее конфиденциальной. Однако риски для соискателей возрастали в силу того, что данные были напрямую связаны с информацией об их работе в McDonald's или их намерении устроиться туда.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3"> «Если бы кто-то воспользовался этим, фишинговые риски были бы очень велики, — объясняет Карри. — Речь идет не только о личных данных и резюме. Это информация о людях, которые ищут работу в McDonald's или работают там, о людях, которые с нетерпением ждут ответных писем. К примеру, если бы вы хотели провернуть какое-нибудь мошенничество, связанное с выплатой зарплаты, это был бы отличный вариант».</font>
</td>
</tr>
</table>
</div>Представители Paradox.ai опубликовали <a href="https://www.paradox.ai/blog/responsible-security-update" target="_blank">официальное заявление</a> в блоге, в котором сообщили, что тестовый аккаунт с паролем «123456», к которому получили доступ эксперты, не использовался с 2019 года и давно должен был быть отключен.<br/>
<br/>
Подчеркивается, что никто кроме Карри и Кэролла не использовал эту уязвимость и не получал доступ к данным соискателей. А исследователи получили доступ лишь к семи записям, пять из которых действительно содержали личную информацию людей, которые взаимодействовали с сайтом McHire.<br/>
<br/>
В компании добавили, что теперь запустят программу bug bounty, чтобы в будущем лучше выявлять уязвимости в своих системах.<br/>
<br/>
В свою очередь, представители McDonald's сообщили изданию <a href="https://www.wired.com/story/mcdonalds-ai-hiring-chat-bot-paradoxai/" target="_blank">Wired</a>, что вина за произошедшее полностью лежит на Paradox.ai.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Мы разочарованы этой непозволительной уязвимостью в системе стороннего провайдера Paradox.ai. Как только мы узнали о проблеме, мы потребовали от Paradox.ai немедленно устранить ее, и вопрос был решен в тот же день. Мы придаем большое значение кибербезопасности и продолжим требовать от сторонних поставщиков соблюдения наших стандартов защиты данных», — заявили в McDonald's.</font>
</td>
</tr>
</table>
</div><a href="https://xakep.ru/2025/07/11/olivia-leak/" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 05:48 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.