麥當(dāng)勞大多數(shù)特許經(jīng)營(yíng)商使用的AI招聘平臺(tái)McHire存在安全漏洞,,導(dǎo)致超過(guò)6400萬(wàn)求職者的個(gè)人信息暴露。安全研究人員Ian Carroll的報(bào)告顯示,,該平臺(tái)使用了Paradox.ai開(kāi)發(fā)的名為Olivia的AI聊天機(jī)器人,,收集求職者的姓名,、電話號(hào)碼,、電子郵件地址和物理地址等信息。
然而,,這個(gè)平臺(tái)的安全性令人擔(dān)憂,。研究人員發(fā)現(xiàn),只需使用用戶名和密碼“123456”就能輕松登錄管理界面,。登錄后,,攻擊者可以通過(guò)修改網(wǎng)址中的數(shù)字參數(shù)(即應(yīng)聘者的ID編號(hào)),查看其他申請(qǐng)人的聊天交互機(jī)密信息,。系統(tǒng)中保存的招聘記錄可能多達(dá)6400萬(wàn)份,,甚至能獲取用于冒充申請(qǐng)人登錄的身份驗(yàn)證令牌,查看原始聊天記錄,。
在發(fā)現(xiàn)問(wèn)題后,,研究人員嘗試聯(lián)系Paradox.ai和麥當(dāng)勞報(bào)告這一漏洞,但由于缺乏公開(kāi)的安全披露聯(lián)系方式,,他們只能通過(guò)電子郵件聯(lián)系隨機(jī)人員,。最終,在研究人員的努力下,,Paradox.ai和麥當(dāng)勞確認(rèn)了這一問(wèn)題,,并在7月初修復(fù)了相關(guān)漏洞。