Личные данные десятков миллионов людей, когда-либо подававших заявки на работу в McDonald’s, оказались под угрозой из-за грубейшей уязвимости в системе, обслуживающей чат-бота компании.
Как выяснил исследователь в области кибербезопасности Иэн Кэрролл, попасть в административный интерфейс платформы Paradox.ai, которая разрабатывает чат-бота для найма под названием Оливия, можно было, просто введя логин и пароль «123456». Этого оказалось достаточно, чтобы получить доступ к полным текстам всех собеседований с 64 миллионами соискателей. Среди утёкших данных — имена, адреса, телефоны, e-mail, время, доступное для смен, и даже токены авторизации.
Paradox.ai обслуживает подавляющее большинство франшиз McDonald’s — примерно 90% всех точек. Чат-бот Оливия берёт на себя первую волну собеседований, запрашивает у кандидатов анкетные данные, предлагает пройти простейшие психологические тесты и затем передаёт всё это людям через закрытую админку.
Кэрролл обнаружил ссылку на внутреннюю страницу входа для сотрудников Paradox, незаметную среди прочей информации. Проверив стандартный логин и пароль «123456», он тут же получил полный доступ. Просматривая код страницы, он нашёл API-запрос, который позволил перебрать идентификаторы и выгрузить всю историю переписки чат-бота — в том числе с отмеченными статусами трудоустройства.
Связаться с Paradox напрямую оказалось непросто: на сайте компании не было даже формы для сообщения об уязвимостях. Исследователю просто пришлось писать по случайным адресам. В конце концов, в начале июля компания подтвердила, что уязвимость устранена, и поблагодарила за информацию.
Параллельно с этим Кэрролл отметил, что ИИ-бот Оливия нередко отвечает шаблонно и бессвязно. Пользователи уже делились скриншотами, где бот зацикливался, отправляя соискателя то на сайт, то обратно к себе в чат, а на жалобу реагировал нелепыми фразами.
Применение ИИ в McDonald’s на этом не ограничивается: компания активно внедряет такие системы в административные процессы, автоматические сенсоры и системы контроля заказов. В прошлом году McDonald’s даже тестировала ИИ для голосового меню, но в итоге свернула эксперимент.
Что особенно тревожно — «123456» до сих пор входит в число самых популярных паролей в мире. И когда такая небрежность допускается в системах, хранящих миллионы персональных данных, это уже не просто ошибка, а серьёзная угроза.
Ещё по теме:
- iPhone 17 Pro с дисплеями от BOE будут продаваться только в Китае
- Apple готовит новые MacBook, iPad и внешний монитор на первую половину 2026 года
- Искусственный интеллект на Apple Watch научился точнее предсказывать здоровье по поведению
