ИИ-бот McDonald’s выдал хакерам данные 64 миллионов человек

Персональные данные 64 миллионов соискателей выдал хакерам ИИ-бот McDonald’s, пишет издание «RT на русском» 11 июля со ссылкой на отчет исследователей по кибербезопасности.

Отмечается, что утечка данных включала имена, электронные адреса, номера телефонов и историю переписки за несколько лет.

Взлом произошел из-за слабой защиты административной панели системы Paradox.ai, которая обслуживает бота. Злоумышленники подобрали стандартные логин и пароль — 123456, а двухфакторная аутентификация отсутствовала.

Изначально хакеры пробовали атаковать фронт-энд через prompt-инъекции, но успеха добились только через бэк-энд. После обнаружения уязвимости исследователи уведомили McDonald’s и Paradox.ai, которые оперативно ее устранили.

«Мы уже запустили программу по поиску уязвимостей», — заявила глава Paradox.ai. В McDonald’s выразили недовольство уровнем безопасности подрядчика.

Напомним, McDonald’s внедрил ИИ-бота Olivia от Paradox.ai для автоматизации найма сотрудников, что вызвало недовольство среди соискателей из-за некорректных ответов и сложного процесса собеседования. Исследователи заинтересовались системой после жалоб в соцсетях и обнаружили, что бот не только плохо работает, но и уязвим к простейшим методам взлома.

Напомним, Paradox.ai ранее заявляла о безопасности своих решений, однако тестовый аккаунт с паролем «123456» оставался активным с 2019 года. Это не первый случай, когда компании сталкиваются с утечками из-за слабой защиты данных, особенно при использовании сторонних ИИ-сервисов.