据外媒报道,麦当劳的人工智能招聘系统暴露出严重安全问题,多达 6400 万求职者个人信息面临风险。
麦当劳的人工智能招聘机器人因使用 “123456” 这一弱密码,安全措施薄弱,致使大量求职者数据泄露。此招聘系统由人工智能软件公司 Paradox.ai 构建的 McHire 平台支持,安全研究人员发现其存在基本安全漏洞,黑客用简单凭证就能访问求职者数据库。
麦当劳 “麦招聘” 平台依靠 “奥利维亚” 人工智能聊天机器人简化招聘流程,该自动化系统会进行初步筛选、收集信息等,但常无法正确理解求职者问题。系统后端由 Paradox.ai 开发,存储大量互动记录和个人信息。研究人员经渗透测试,先找即时注入漏洞未成功,后研究身份验证机制,用 “123456” 获取管理员权限,又发现 IDOR 漏洞,可遍历数据库,大量个人信息暴露。
此次数据泄露给求职者带来重大风险,可能遭遇定向网络钓鱼、工资诈骗等。麦当劳和 Paradox.ai 都承认问题严重性,麦当劳对供应商漏洞表示失望,Paradox.ai 首席法务官证实发现并宣布实施漏洞赏金计划,还称被攻破的测试账户自 2019 年闲置应停用,凸显安全问题 。
京公网安备 11010802033237号
