Хакеры взломали бота McDonald’s паролём «123456» и получили доступ к данным 64 млн соискателей работы

Серьёзная уязвимость в платформе найма McHire, используемой McDonald’s, привела к потенциальной утечке данных около 64 миллионов соискателей.

Как выяснилось, ИИ-бот по имени Olivia, созданный компанией Paradox.ai, хранил чувствительную информацию кандидатов — включая имена, номера телефонов и электронные адреса — под крайне слабым паролем «123456».

Об инциденте сообщили исследователи в области кибербезопасности Иэн Кэрролл и Сэм Карри. Они провели несанкционированное, но этическое тестирование системы, в ходе которого, используя базовый метод перебора, смогли получить доступ к закрытым данным менее чем за час. Об их находке рассказало издание Wired.

Кэрролл признался, что изначально его внимание привлёк необычный формат рекрутинга через чат-бота. Заинтересовавшись, он решил проверить, насколько безопасно хранятся данные пользователей платформы. Выяснилось, что даже базовые меры защиты не соблюдены.

Компания-разработчик Paradox.ai подтвердила факт существования уязвимости, однако заявила, что в большинстве скомпрометированных записей не содержались полные персональные данные. Также было уточнено, что доступ получили только исследователи, а не злоумышленники. Тем не менее, компания пообещала усилить внутреннюю политику безопасности и внедрить программу поиска уязвимостей.