Чатбот, который у вас есть от McDonald's «Кто не может сохранить свой рот». Как была утечка пропорций

Чатбот, который у вас есть от McDonald’s «Кто не может сохранить свой рот». Как была утечка пропорций

Иван Бремин04 минуты
Чатбот, который у вас есть от McDonald's «Кто не может сохранить свой рот». Как была утечка пропорций

Серьезный инцидент с кибербезопасностью выявился после того, как два независимых исследователя, Ян Кэрролл и Сэм Карри, обнаружили, что личные данные миллионов кандидатов на работу в McDonald’s были легко доступны через платформу управляемого искусственного интеллекта.

Чат -бот «Olivia», используемый на веб -сайте Mchire.com для принятия, анализа и взаимодействия с кандидатами, может быть скомпрометирован с помощью простых паролей, таких как «123456».

Платформа разработана Paradox.ai, которая предоставляет автоматизированное программное обеспечение для набора персонала с искусственным интеллектом для McDonald’s и других франшиз.

Кэрролл заинтересовался системой после прочтения онлайн -жалоб на бессвязные ответы, предлагаемые Чатботом. После всего лишь 30 минут тестирования он и Карри удалось получить доступ к администратору к тестовой учетной записи без многофакторной аутентификации, используя только тривиальные пароли.

После аутентификации исследователи имели доступ к интерфейсу и обнаружили еще одну уязвимость: изменяя численную идентификатор приложений, они могли просматривать сообщения и данные других кандидатов.

Оценки указывают на существование более 64 миллионов записей, которые включали имена, адреса электронной почты, номера телефонов и другие данные, передаваемые в разговорах Chatbot.

Paradox.ai и McDonald’s подтверждают проблему и попытайтесь ограничить ущерб

После уведомления о проблеме, парадокс.

По словам компании, третьи лица не обращались к компромиссной учетной записи, кроме двух исследователей, и только небольшая часть записей содержала личные данные.

В интервью для Wired, юридический директор Paradox. «Мы принимаем эту ошибку. Хотя она была решена быстро, мы не обращаемся к ней легко», — сказал Кинг.

McDonald’s, в свою очередь, передал заявление, в котором он возлагает ответственность непосредственно на поставщика технологий: «Мы глубоко разочарованы этой неприемлемой уязвимостью от третьего партийного поставщика.

Хотя Кэрролл и Карри были доступны только на семь записей, пять из которых содержали личную информацию, они подчеркнули, что риски для пользователей были высокими.

Помимо возможного стыда, связанного с заявлением на основную работу, данные могут использоваться в фишинговых атакх, мошенничества, с помощью которых злонамеренные люди могут утверждать, что являются рекрутерами McDonald’s, требуя банковских данных для «настройки зарплаты».

Трудный урок об опасностях автоматизации без безопасности

Дело поднимает серьезные вопросы, касающиеся оцифровки процессов найма, особенно когда они включают конфиденциальные данные уязвимых людей, таких как молодежь или тех, кто ищет основную работу.

Использование чат -бота искусственного интеллекта, который предоставляет неясные ответы, направляет кандидатов на тесты личности и хранит частную информацию без адекватной защиты подрывает уверенность в таких технологиях.

Кэрролл объяснил, что его намерение состояло не в том, чтобы высмеивать процесс занятости в McDonald’s, а привлечь внимание к опасной комбинации спешных технологий и отсутствия минимальных мер безопасности.

«У меня есть все уважение к сотрудникам McDonald’s. Я часто хожу туда. Но то, как эта платформа относится к данным людей, неприемлемо», — сказал он.

Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии

Похожие новости