McDonald’s AI ile çalışan işe alım sisteminde ciddi bir güvenlik açığı, potansiyel olarak 64 milyon iş başvurusunda bulunmanın kişisel bilgilerini yetkisiz erişime maruz bırakmıştır.
Key Takeaways
1. McDonald's AI hiring bot exposed 64 million job applicants' personal data through weak security using password "123456."
2. Researchers accessed the entire system in 30 minutes using simple password guessing and database manipulation.
3. Names, emails, phone numbers, and chat logs were accessible, enabling potential phishing and fraud schemes.
4. Both companies acknowledged the breach, fixed it same day, and Paradox.ai launched a bug bounty program.
Güvenlik araştırmacıları Ian Carroll ve Sam Curry, yapay zeka yazılımı firması Paradox.ai tarafından inşa edilen McHire platformunun, bilgisayar korsanlarının kullanıcı adı ve şifre gibi basit kimlik bilgilerini kullanarak başvuru sahibi veritabanlarına erişmesine izin veren temel güvenlik kusurlarından muzdarip olduğunu keşfetti.
İhlal, yapay zeka odaklı işe alım sistemlerinde kritik siber güvenlik arızalarını vurgular ve otomatik işe alım süreçlerinde veri koruması konusunda ciddi endişeler doğurur.
AI işe alım bot sızıntıları başvuru verileri
McDonald’s McHire platformu, franchise konumları için işe alım sürecini kolaylaştırmak için “Olivia” adlı bir AI Chatbot’a güveniyor.
Bu otomatik sistem ilk başvuru sahibini tarar, iletişim bilgileri ve özgeçmişleri toplar ve adayları kişilik değerlendirmeleri yoluyla yönlendirir.
Chatbot, iş arayanlarla etkileşim kurmak için doğal dil işleme algoritmaları kullanır, ancak birçok başvuru sahibi AI’nın temel sorguları doğru anlayamaması konusunda sinir bozucu deneyimler bildirmiştir.
Platform, makine öğrenimi algoritmalarının işe alımın ilk aşamalarında geleneksel insan işe alımcılarının yerini aldığı AI güdümlü insan kaynakları yönetimine doğru önemli bir kaymayı temsil etmektedir.
Bununla birlikte, bu teknolojik ilerleme, hassas başvuru sahibi verileri ortaya çıkaran ciddi güvenlik açıklarıyla geldi.
Paradox.ai tarafından geliştirilen sistemin arka uç altyapısı, iş arayanlar ve AI chatbot arasındaki milyonlarca etkileşimden kapsamlı sohbet günlükleri ve kişisel bilgileri sakladı.
Güvenlik araştırmacıları, McHire platformunun sistematik penetrasyon testi yoluyla birden fazla kritik güvenlik açığı belirlediler.
Araştırmaları, hızlı enjeksiyon güvenlik açıklarını bulma girişimleriyle başladı – saldırganların AI güvenliğini atlamak için belirli komutlar göndererek büyük dil modellerini manipüle ettikleri bir teknik.
Bu saldırılar başarısız olduğunda, platformun kimlik doğrulama mekanizmalarını incelemeye yöneldiler.
Atılım, Carroll McHire.com’da bir Paradox.ai Personel Giriş Bağlantısı keşfettiğinde ve ortak kimlik bilgisi kombinasyonlarını denediğinde geldi.
Temel sözlük saldırılarını kullanarak, “123456” ı gülünç derecede zayıf şifre ile yöneticinin erişimi kazandılar.
Meyveden çıkarılan hesap, yetkisiz erişimi engelleyebilecek temel bir güvenlik kontrolü olan çok faktörlü kimlik doğrulamasından yoksundu.
Sistemin içine girdikten sonra, araştırmacılar başvuru sahibi veritabanında güvensiz bir doğrudan nesne referansı (Idor) güvenlik açığı belirlediler.
64 milyonun üzerindeki değerlerden başlayan başvuru sahibi kimlik numaralarını manipüle ederek, kayıtlar aracılığıyla numaralandırılabilir ve diğer başvuru sahiplerinin kişisel bilgilerine erişebilirler.
Bu güvenlik açığı, tam veritabanı geçişine, isimleri, e -posta adreslerini, telefon numaralarını ve sohbet geçmişlerine birkaç yıl kapsayan sohbet geçmişine izin verdi.
McDonald’s ve Paradox.Ai Cevap verdi
Maruz kalan veri seti potansiyel olarak 64 milyon başvuru sahibinden kişisel bilgiler içeriyordu, ancak paradox.ai sadece bir kesirde hassas veriler içerdiğini iddia ediyor.
Araştırmacılar, araştırmaları sırasında beş kişiye tanımlanabilir bilgi içeren yedi kayda eriştiler.
Bu veri maruziyeti, özellikle sahtekarların McDonald’ın işe alımcılarını bordro dolandırıcılığı için finansal bilgiler toplama konusunda taklit edebileceği hedefli kimlik avı saldırıları konusunda etkilenen bireyler için önemli riskler yarattı.
Hem McDonald’s hem de Paradox.ai, McDonald’s’ın üçüncü taraf sağlayıcılarının güvenlik başarısızlıklarındaki hayal kırıklığını ifade ederek ihlalin ciddiyetini kabul etti.
Paradox.ai’nin baş hukuk memuru Stephanie King, bulguları doğruladı ve gelecekteki güvenlik açıklarını belirlemek için bir hata ödül programının uygulanmasını duyurdu.
Şirket, tehlikeye atılan test hesabının 2019’dan beri uykuda kaldığını ve geliştirme uygulamalarında kötü güvenlik hijyenini vurgulayarak hizmetten çıkarılması gerektiğini vurguladı.
Marcus Hutchins ile Uç nokta güvenliğine hakim olan bir saldırgan gibi düşünün – Şimdi Kaydolun