关注我们
带你读懂网络安全
AI放大数据泄露风险!安全研究员仅凭一个极其不安全的密码,就获取了麦当劳多年来的应聘者数据。
前情回顾·AI安全威胁态势
安全内参7月11日消息,当安全研究人员Ian Carroll和Sam Curry决定尝试入侵麦当劳AI聊天机器人后台时,并未料到这一过程竟如此轻而易举。
麦当劳使用“Olivia”AI聊天机器人来招聘新员工,这款AI招聘助手由供应商Paradox.ai开发并提供服务。
据外媒《连线》杂志报道,Carroll表示仅用了不到半小时,他们便“几乎完全访问了麦当劳多年来收到的所有求职简历”。他们于7月9日在博客中披露了这一过程。
研究员通过弱密码进入AI后台,
可遍历获取6400万条应聘者数据
当时,Carroll和Curry正在与“Olivia” AI招聘助手进行对话。他们在McHire.com网站上发现了一个供Paradox.ai内部员工使用的登录链接。
图:通过弱密码登录了McHire后台
仅尝试两次,他们就成功猜中该后台的用户名和密码(密码竟是“123456”)。随后,两人获得了该招聘平台的管理员权限。接着,他们又找到另一个链接,进一步访问了此前与“Olivia”机器人共享的数据。很快,他们意识到,只需随机修改应聘者的ID号,就能查看所有与聊天机器人有过互动的应聘者的姓名、电子邮件和电话号码。他们向《连线》杂志透露,这类信息可能多达6400万条。
图:后台对话界面的某个API可遍历应聘者的个人信息和聊天记录等
出于对隐私和法律责任的担忧,两位研究人员并未深入浏览大量记录。他们仅从这6400万个ID中随机抽查了少数几条记录,发现全部都是完全真实的求职者信息。据Paradox.ai称,两位研究人员共访问了7条记录,其中5条包含了曾与McHire网站互动的用户的个人信息。
Carroll和Curry向《连线》杂志提供了一小部分应聘者的姓名、联系方式及申请时间作为样本。《连线》杂志随后通过这些泄露的联系方式联系了其中两位应聘者,对方确认确实在所述时间申请了麦当劳的职位。
暴露数据可被用于钓鱼诈骗
两人指出,虽然此次Paradox.ai的安全漏洞中泄露的个人信息并非最为敏感的数据,但对于应聘者而言,风险在于这些信息暴露了他们曾申请或意图申请麦当劳职位的事实。
Curry表示:“如果有人想恶意利用这些信息,钓鱼攻击的风险会非常大。这不仅是一些可识别的个人信息或简历,而是关于那些等待麦当劳回复、充满期待的人的详细信息。”
这意味着,诈骗者可能会冒充麦当劳招聘人员,以设置工资直发为由索取银行信息等。Curry说:“如果你想实施某种工资诈骗,这绝对是个理想的切入点。”
两位研究人员还指出,一些人可能曾申请这类通常为最低工资的岗位,甚至未能成功录取,这可能会让他们感到尴尬。不过Carroll强调,他并不认为任何人因在麦当劳工作而应感到羞耻。
AI供应商计划建立
漏洞奖励计划提升安全能力
Paradox.ai后续发布了一篇博客文章,承认了此次安全漏洞,并强调该漏洞并未被研究人员以外的任何人发现,且研究人员仅访问了极少量用于验证数据真实性的信息。公司还透露,正计划建立一个“漏洞奖励计划”,以提升自身安全能力。
Paradox.ai的首席法律官Stephanie King表示:“我们绝不会对这件事掉以轻心,尽管问题已经被迅速且有效地解决。我们对此事件承担全部责任。”
麦当劳在提交给《连线》杂志的书面声明中补充,此次事件的全部责任归属于Paradox.ai,且问题已经立即得到处理。
声明中写道:“我们对第三方供应商Paradox.ai此次不可接受的安全漏洞感到失望。在获悉该问题后,我们立即要求Paradox.ai修复漏洞,并于当天完成修复。我们对网络安全的承诺始终严肃认真,并将持续要求我们的第三方合作伙伴遵循我们对数据保护的高标准。”
参考资料:thedailybeast.com
点击下方卡片关注我们,
带你一起读懂网络安全 ↓
📍发表于:中国 北京
