A McDonald’s robotja 64 millió jelentkezőt szolgáltatott ki egy rendkívül béna jelszó miatt!
Olivia, a McDonald’s szuperokos AI-asszisztense eddig álláskeresők millióit szűrte ki automatikusan a McHire.com-on keresztül, most viszont nem éppen az ügyessége miatt került a hírekbe. Két szemfüles biztonsági kutató, Ian Carroll és Sam Curry olyan durva hibákat talált a rendszerben, hogy szinte bárki beléphetett volna a háttérbe, méghozzá a klasszikus „123456” jelszóval. Hihetetlen, de tényleg így van.
Olivia a Paradox.ai nevű cég fejlesztése, és világszerte segíti a McDonald’s étteremláncokat abban, hogy gyorsan és hatékonyan kezeljék az állásokra jelentkezőket. Tud egy csomó olyan dolgot, mint a chatbotos csevegés, önéletrajzok gyűjtése, személyiségtesztek, szóval minden, ami kell.
Csakhogy a technológia mögött rejlő rendszer nem volt éppen a biztonság bajnoka. A kutatók rábukkantak egy bejelentkezési oldalra, amely a Paradox munkatársainak volt fenntartva, méghozzá többfaktoros hitelesítés nélkül. Kipróbálták az „admin” felhasználónevet és az „123456” jelszó, és hopp, bent is voltak, ráadásul admin joggal.
Miután bejutottak, egy újabb durva hibát találtak, mivel elég volt csak néhány számot átírni az URL-ben, és máris hozzáférhettek más jelentkezők személyes adataihoz. Carrollék persze csak néhány rekordot néztek meg, mert nem akarták átlépni az etikai határt, de becslésük szerint akár 64 millió jelentkezés is érintett lehetett. És hogy mi került veszélybe? Teljes nevek, telefonszámok, e-mail címek, csevegések Oliviával, sőt néha még önéletrajzok és munkavállalási preferenciák is.
A Paradox.ai beismerte a hibát, és gyorsan reagált, a blogposztjukban elismerték, hogy a 123456-os jelszavú tesztfiókot már 2019 óta nem használták, de elfelejtették megszüntetni. Állításuk szerint a fiókot csak a két kutató használta, semmi rosszindulatú támadást nem találtak. Stephanie King, a cég jogi vezetője szerint az elkövetett hibát annak ellenére komolyan veszik, hogy gyorsan orvosolták, és elismerte saját felelősségüket. Azóta elindítottak egy hibavadász (bug bounty) programot is, hogy ne forduljon elő hasonló eset.
A McDonald’s sem hallgatott, de gyorsan lepasszolta a labdát, mondván, hogy nagyon csalódott a Paradox.ai elfogadhatatlan hibája miatt. Elmondása szerint amint tudomást szerzett a dologról, azonnal javítást rendelt el.
Bár semmi valóban veszélyes adat nem szivárgott ki, az eset komoly csalási vagy adathalász kockázatot jelentett. Mivel nyilvánvaló volt, hogy a jelentkezők minimálbéres állásra pályáztak, az információk akár ál-HR üzenetek, hamis beléptetők vagy más trükkök eszközei is lehettek volna.
Carroll szerint már az is elég fura, hogy egy robot dönti el, alkalmas-e az ember hamburgerkészítőnek. Plusz még a jelentkező adatai is kikerülnek, mert a robot gazdái az ‘123456’-ot tartották biztonságos jelszónak. Már önmagában az is érzékeny információ, hogy valaki munkát keres.
