7月11日消息,麦当劳绝大多数特许经营商都在使用的AI招聘平台McHire存在安全漏洞,导致超过6400万求职者的个人信息遭暴露。
据安全研究人员Ian Carroll的报告,麦当劳的招聘平台McHire使用了Paradox.ai开发的名为Olivia的AI聊天机器人,来收集求职者的个人信息,包括姓名、电话号码、电子邮件地址、物理地址等。
不过该平台的安全性却令人堪忧,研究人员发现,通过使用用户名和密码123456,可以轻松登录管理界面。
在成功登录后,攻击者只需修改网址中的数字参数(本案中为应聘者的ID编号),任何McHire账户持有者都能查看其他申请人的聊天交互机密信息。
研究人员指出,系统中保存的招聘记录可能多达6400万份,甚至能获取用于冒充申请人登录的身份验证令牌,查看原始聊天记录。
在发现这一问题后,研究人员尝试联系Paradox.ai和麦当劳以报告这一漏洞,但由于缺乏公开的安全披露联系方式,他们不得不通过电子邮件联系随机人员。
最终,在研究人员的努力下,Paradox.ai和麦当劳确认了这一问题,并在7月初修复了相关漏洞。