麦当劳AI工具惊现重大漏洞:“123456”当账号密码,30分钟6400万求职者数据“变透明”
更新时间:2025-07-12 17:27:15 浏览次数:

  该平台采用了Paradox.ai开发的AI聊天机器人“Olivia”,用于收集求职者的个人信息,包括姓名、电话、邮箱、住址等敏感数据。然而,平台的安全防护存在严重缺陷。

  独立安全研究员伊恩·卡罗尔和萨姆·库里发现,
 

  独立安全研究人员伊恩·卡罗尔和萨姆·库里在麦当劳招聘系统McHire上发现了一个标记为“Paradox.ai员工”的管理员登录入口。卡罗尔之所以开始调查该系统,是因为他对麦当劳使用AI聊天机器人和性格测试来筛选潜在雇员的决定感到好奇。他说道:“我只是觉得与正常的招聘流程相比,这简直太反乌托邦了,对吧?正是这点让我想深入调查。于是我开始申请工作,卡罗尔尝试了常见登录凭证。他首先尝试用户名和密码均为“admin”,第二次尝试使用“123456”后,便成功登录,完全控制了一个测试特许经营商账户。通过修改API中的申请人ID值,公开可访问的数据包括:

  姓名、电子邮件、电话号码、IP地址及部分家庭住址;

  聊天历史记录,包括性格测试回答和简历详情庆幸的是,暴露的数据不涉及财务数据或社会安全号码。然而,被暴露的数据仍可能造成严重的网络钓鱼风险。

  意识到潜在数据暴露规模后,上述研究人员立即启动披露程序,于2025年6月30日美国东部时间17:46联系Paradox.ai和麦当劳。麦当劳迅速确认报告,当日19:31即禁用默认管理凭证。Paradox.ai确认所有问题在2025年7月1日22:18前彻底解决,两家公司均表示将加强数据安全防护。

  麦当劳在中,将数据漏洞归咎于其第三方供应商Paradox.ai。麦当劳称:“我们对第三方供应商Paradox.ai的这种不可接受的漏洞感到失望。” 麦当劳进一步证实,在得知此问题后,他们“立即要求Paradox.ai修复问题,并在收到报告的当天就解决了。”

  Paradox.ai则表示,他们在收到警报后数小时内就禁用了受影响的测试账户,并在7月1日之前完全解决了漏洞。该公司还启动了一项漏洞赏金计划,以发现未来的安全弱点。

  
 

  此外,Paradox.ai在其官网上发布了一篇博客称,应聘者信息从未在线上泄露或公开,并且此次事件中,仅五名应聘者的信息被查看,且仅由安全研究人员访问。该公司最后强调,“该事件仅影响一家机构,未波及Paradox其他客户。”

  全球数据隐私管理公司MineOS联合创始人兼CEO科比·尼桑评论称,“此事件警示企业,若在缺乏适当监督的情况下仓促部署面向客户的AI工作流,将使自身和数百万用户暴露于不必要的风险中。”

  “问题不在于AI技术本身,而是缺乏基本的安全防护与治理机制。任何收集或处理个人数据的AI系统,都应与企业核心业务系统遵循相同的隐私保护、安全及访问控制标准。”科比强调,“这意味着需要建立身份验证、审计追踪机制,并将其整合至整体风险工作流,而非放任其成为监管盲区。”

推荐图文

鄂ICP备2024040700号-2
武汉砺行体育文化传媒有限公司-版权所有
数据源自网络仅供参考