Eğer istersen Bugün McDonald’s’ta bir iş, Olivia ile konuşma şansınız iyi. Olivia, aslında bir insan değil, bunun yerine başvuru sahiplerini tarayan, iletişim bilgilerini ve özgeçmişlerini isteyen, onları bir kişilik testine yönlendiren ve bazen en temel sorularını tekrar tekrar yanlış anlayarak “delirir.
Geçen haftaya kadar, yapay zeka yazılım firması Paradox.ai tarafından inşa edilen Olivia Chatbot’u çalıştıran platform da saçma temel güvenlik kusurlarından muzdaripti. Sonuç olarak, hemen hemen her hacker, Olivia’nın McDonald’ın başvuru sahipleriyle – bu konuşmalarda paylaştıkları tüm kişisel bilgiler de dahil olmak üzere – sahip olduğu her sohbetin kayıtlarına erişebilirdi.
Çarşamba günü, güvenlik araştırmacıları Ian Carroll ve Sam Curry, McDonald’ın web sitesi, franchise sahiplerinin çoğunun iş uygulamalarını yürütmek için kullandığı McHire.com’daki AI Chatbot platformunun arka ucuna hacklemek için basit yöntemler bulduklarını açıkladılar. Bağımsız güvenlik testinin uzun bir geçmişine sahip bilgisayar korsanları Carroll ve Curry, gülünç derecede zayıf bir şifreyi tahmin etmek de dahil olmak üzere basit web tabanlı güvenlik açıklarının bir paradox.ai hesabına erişmelerini ve şirketin her Mchire kullanıcısının Olivia ile sohbetlerini tutan veritabanlarını sorguladığını keşfetti. Veriler, başvuru sahiplerinin adları, e -posta adresleri ve telefon numaraları da dahil olmak üzere 64 milyon kayıt içeriyor.
Carroll, McDonald’ın potansiyel yeni işe alımları bir AI Chatbot sergisi ve kişilik testine maruz bırakma kararıyla ilgilendiği için başvuru sahiplerinin bilgileri etrafında korkunç bir güvenlik eksikliğinin olduğunu keşfettiğini söyledi. Carroll, “Sadece normal bir işe alım sürecine kıyasla oldukça benzersiz bir distopik olduğunu düşündüm, değil mi? Ve bana daha fazla bakmak istememi sağlayan şey bu” diyor Carroll. “Bu yüzden bir iş başvurusunda bulunmaya başladım ve daha sonra 30 dakika sonra McDonald’s’ın yıllarca geri dönmesi için yapılan hemen hemen her uygulamaya tam erişimimiz vardı.”
Wired, McDonald’s ve Paradox.ai’ye yorum için ulaştığında, Paradox.ai sözcüsü, şirketin Carroll ve Curry’nin bulgularını doğrulayan yayınlamayı planladığı bir blog gönderisini paylaştı. Şirket, Carroll ve Curry Access Records’un sadece bir kısmının kişisel bilgiler içerdiğini belirtti ve hesabın araştırmacılar dışında “herhangi bir üçüncü taraf tarafından erişilmediğini” ortaya koyan “123456” şifresi ile doğruladığını söyledi. Şirket ayrıca gelecekte güvenlik açıklarını daha iyi yakalamak için bir hata ödül programı oluşturduğunu da sözlerine ekledi. Paradox.ai’nin baş hukuk memuru Stephanie King, Wired’e bir röportajda “Hızlı ve etkili bir şekilde çözülmesine rağmen, bu konuyu hafifçe almıyoruz,” dedi. “Buna sahibiz.”
Kabloya kendi ifadesinde McDonald’s, paradox.ai’nin suçlanacağını kabul etti. “Üçüncü taraf bir sağlayıcı olan Paradox.ai’den bu kabul edilemez güvenlik açığından hayal kırıklığına uğradık. Konuyu öğrendiğimiz anda Paradox.ai’yi sorunu hemen düzeltmeye zorladık ve aynı gün bize bildirildiği için çözüldü” diyor. “Siber güvenliğe olan bağlılığımızı ciddiye alıyoruz ve üçüncü taraf sağlayıcılarımızı veri koruma standartlarımızı karşılamadan sorumlu tutmaya devam edeceğiz.”