Súlyos adatvédelmi incidens a McDonald’s toborzórobotja miatt
A McDonald’s toborzórobotja, Olivia, egy elképesztően gyenge jelszó miatt 64 millió jelentkezőt érintett egy súlyos adatvédelmi incidens során. A Paradox.ai által fejlesztett AI-asszisztens eddig nagyon jól teljesített, segítve a McHire.com-on keresztül az álláskeresők automatikus szűrését. Azonban Ian Carroll és Sam Curry, két biztonsági kutató felfedezett egy komoly hibát a rendszerben, amely lehetővé tette, hogy bárki belépjen a háttérbe a „123456” jelszóval.
A kutatók bejutottak a Paradox munkatársa számára fenntartott bejelentkezési oldalra, ahol nem volt többfaktoros hitelesítés. Miután sikerült bejelentkezniük, további súlyos hibát találtak, mivel egyszerű URL-módosítással hozzáférhettek más jelentkezők személyes adataihoz is. Bár etikai okokból csak néhány rekordot néztek meg, becsléseik szerint akár 64 millió jelentkezés is érintett lehetett. Az adatok között szerepeltek teljes nevek, telefonszámok, e-mail címek, valamint a robotasszisztenssel folytatott csevegések, és időnként önéletrajzok is.
A Paradox.ai elismerte a hibát, és blogbejegyzésükben kifejtették, hogy a gyenge jelszavú tesztfiókot már 2019 óta nem használták, de a leállítást elfelejtették. A cég jogi vezetője, Stephanie King, hangsúlyozta, hogy komolyan veszik az elkövetett hibát, és hogy felelősséget vállalnak a történtekért. Azóta hibavadász programot indítottak, hogy hasonló esetek ne forduljanak elő a jövőben.
A McDonald’s szintén reagált az ügyre, és kifejezte csalódottságát a Paradox.ai hibája miatt. A cég közölte, hogy azonnali javítást rendelt el, amint tudomást szerzett a problémáról. Bár nem került ki valóban érzékeny adat, a helyzet komoly csalási vagy adathalászati kockázatot jelentett, mivel a jelentkezők minimálbéres állásokra pályáztak, és az adatok akár hamis HR üzenetekhez vagy csalási próbálkozásokhoz is felhasználhatók lettek volna.
Carroll megjegyezte, hogy már önmagában furcsa, hogy egy robot dönt a hamburgerek készítésére való alkalmasságról, miközben a jelentkezők adatai veszélybe kerülnek, mert a robot üzemeltetői a „123456”-ot biztonságos jelszónak tartották. Az, hogy valaki munkát keres, önmagában is érzékeny információ, és ez a helyzet felveti a kérdést, mennyire lehet bízni a technológiai megoldásokban a munkaerő-toborzás során.
Forrás: eredeti cikk
További friss hírek, napi aktualitások és fontos történések a Napi Hírek webmagazinban.
