Мегакорпорация выбрала один из самых нелепых паролей для админки чат-бота McHire, которым пользовались порядка 90 % франчайзи McDonald’s для приёма резюме и проведения удалённых собеседований.
Специалисты по кибербезопасности Иэн Кэррол и Сэм Карри обнаружили дыру случайно, введя логин и пароль в качестве шутки, после чего немедленно попали в тестовую админку.
Как выяснилось позже, API сайта тоже не был защищён, и получить доступ к предыдущему чату можно было просто поменяв ID беседы в коде сайта. Что? Да!
Потенциальный злоумышленник мог получить обширный контроль над базой данных, включая незашифрованные имена, адреса и номера телефонов соискателей, их истории переписок с чат-ботом и даже тесты личности, составленные ИИ.
Кэррол и Карри немедленно написали в поддержку McDonald’s и ParadoxAI — разработчиков ИИ McHire. Компаниям потребовалось два часа, чтобы поменять пароль, и ещё сутки, чтобы официально закрыть тикет поддержки.
