Cпециалисты по кибербезопасности Иэн Кэрролл и Сэм Карри сообщили, что нашли простые способы взлома бэкенда платформы чат-ботов с искусственным интеллектом на сайте McHire.com, который используют в McDonald’s для обработки резюме. В итоге они получили данные миллионов соискателей.
Для того, чтобы устроиться в McDonald’s, соискатели общаются с чат-ботом «Оливия». Он проверяет кандидатов, запрашивает их контактную информацию и резюме, а также направляет их на личностный тест.
До прошлой недели платформа, на которой работает «Оливия», разработанная компанией Paradox.ai, была подвержена уязвимостям безопасности. В результате практически любой хакер мог получить доступ к записям всех чатов ИИ-бота с кандидатами на работу. Административный интерфейс для владельцев ресторанов принимал стандартные логин и пароль «123456». При этом внутренний API содержал уязвимость типа IDOR (Insecure Direct Object Reference), позволяющую получить доступ к любым чатам и контактам.
Исследователи прошли процесс подачи заявки через сайт McHire. Кэрролл и Карри обнаружили, что простые веб-уязвимости, включая подбор одного слабого пароля, позволяли им получить доступ к учётной записи Paradox.ai и выполнить запросы к базам данных компании, где хранились все чаты пользователей McHire с «Оливией». Для этого было достаточно менять идентификаторы.
Полученные данные содержат около 64 млн записей, включая имена, адреса электронной почты и номера телефонов кандидатов.
Кэрролл отмечает: «Я начал искать работу, и через 30 минут мы получили полный доступ практически ко всем заявкам, когда-либо поданным в McDonald’s за последние годы».
В Paradox.ai подтвердили результаты проверки безопасности. Компания заявила, что доступ к учётной записи со слабым паролем получили только эти исследователи. Чтобы предотвратить подобное в будущем, Paradox запустила программу вознаграждения за найденные ошибки.
В McDonald’s согласились с тем, что вина лежит на Paradox.ai. «Мы разочарованы этой неприемлемой уязвимостью, допущенной сторонним поставщиком услуг Paradox.ai. Как только мы узнали о проблеме, то поручили Paradox.ai немедленно устранить её, и она была решена в тот же день», — говорится в заявлении.
Ранее опросы показали, что 76% организаций, которые наняли сотрудников за последний год, используют тесты для определения соответствия кандидата требованиям. Тренд связан с тем, что многие соискатели используют искусственный интеллект при подготовке резюме. Теперь компаниям приходится чаще использовать когнитивные и личностные тесты, чтобы отсеивать кандидатов и лучше понимать их реальные способности.
Между тем исследователи Роттердамской школы менеджмента Университета Эразмуса выяснили, что использование компаниями искусственного интеллекта в процессе найма может влиять на поведение кандидатов. В итоге это приводит к необъективным результатам отбора. Эксперименты показали, что соискатели пытаются «понравиться» ИИ и для этого особо подчёркивают свои аналитические способности и склонны преуменьшать влияние эмоциональности.
Источник: habr.com