麥當(dāng)勞大多數(shù)特許經(jīng)營(yíng)商使用的AI招聘平臺(tái)McHire存在安全漏洞,,導(dǎo)致超過6400萬求職者的個(gè)人信息暴露,。安全研究人員Ian Carroll的報(bào)告顯示,,該平臺(tái)使用了Paradox.ai開發(fā)的名為Olivia的AI聊天機(jī)器人,,收集求職者的姓名、電話號(hào)碼,、電子郵件地址和物理地址等信息,。
然而,,這個(gè)平臺(tái)的安全性令人擔(dān)憂,。研究人員發(fā)現(xiàn),,只需使用用戶名和密碼“123456”就能輕松登錄管理界面,。登錄后,,攻擊者可以通過修改網(wǎng)址中的數(shù)字參數(shù)(即應(yīng)聘者的ID編號(hào)),查看其他申請(qǐng)人的聊天交互機(jī)密信息,。系統(tǒng)中保存的招聘記錄可能多達(dá)6400萬份,,甚至能獲取用于冒充申請(qǐng)人登錄的身份驗(yàn)證令牌,查看原始聊天記錄,。
在發(fā)現(xiàn)問題后,,研究人員嘗試聯(lián)系Paradox.ai和麥當(dāng)勞報(bào)告這一漏洞,但由于缺乏公開的安全披露聯(lián)系方式,,他們只能通過電子郵件聯(lián)系隨機(jī)人員,。最終,在研究人員的努力下,,Paradox.ai和麥當(dāng)勞確認(rèn)了這一問題,,并在7月初修復(fù)了相關(guān)漏洞。