index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html
![]()
安全研究员Ian Carroll和Sam Curry通过弱密码成功入侵麦当劳的AI招聘助手“Olivia”,获取了长达数年的6400万求职者数据。麦当劳使用由供应商Paradox.ai开发的AI助手进行招聘,研究员发现后台登录密码为“123456”,从而获得管理员权限,可遍历获取应聘者姓名、邮箱、电话等信息。此次泄露的数据可能被用于钓鱼诈骗,Paradox.ai承认漏洞并计划建立漏洞奖励计划提升安全能力。
🔑研究员通过弱密码(123456)成功登录麦当劳AI招聘助手“Olivia”的后台,获得了管理员权限,能够访问并遍历获取长达数年的应聘者数据。
📈泄露的数据包含约6400万条应聘者信息,包括姓名、电子邮件和电话号码等个人隐私数据,这些信息对恶意利用者构成了钓鱼诈骗的巨大风险。
🛡️麦当劳与AI供应商Paradox.ai就此次安全漏洞责任进行了划分,麦当劳表示对第三方供应商的不可接受的安全漏洞感到失望,并已要求其立即修复。
💡Paradox.ai承认了此次安全漏洞,并计划建立一个“漏洞奖励计划”以提升自身安全能力,同时强调问题已被迅速且有效地解决,且研究人员仅访问了极少量用于验证数据真实性的信息。
🚨此次事件凸显了企业AI系统在网络安全方面存在的风险,即使是看似简单的安全措施(如弱密码)也可能导致大规模数据泄露,对企业和个人隐私构成严重威胁。
带你读懂网络安全
AI放大数据泄露风险!安全研究员仅凭一个极其不安全的密码,就获取了麦当劳多年来的应聘者数据。
安全内参7月11日消息,当安全研究人员Ian Carroll和Sam Curry决定尝试入侵麦当劳AI聊天机器人后台时,并未料到这一过程竟如此轻而易举。麦当劳使用“Olivia”AI聊天机器人来招聘新员工,这款AI招聘助手由供应商Paradox.ai开发并提供服务。据外媒《连线》杂志报道,Carroll表示仅用了不到半小时,他们便“几乎完全访问了麦当劳多年来收到的所有求职简历”。他们于7月9日在博客中披露了这一过程。
研究员通过弱密码进入AI后台,
可遍历获取6400万条应聘者数据
当时,Carroll和Curry正在与“Olivia” AI招聘助手进行对话。他们在McHire.com网站上发现了一个供Paradox.ai内部员工使用的登录链接。
图:通过弱密码登录了McHire后台仅尝试两次,他们就成功猜中该后台的用户名和密码(密码竟是“123456”)。随后,两人获得了该招聘平台的管理员权限。接着,他们又找到另一个链接,进一步访问了此前与“Olivia”机器人共享的数据。很快,他们意识到,只需随机修改应聘者的ID号,就能查看所有与聊天机器人有过互动的应聘者的姓名、电子邮件和电话号码。他们向《连线》杂志透露,这类信息可能多达6400万条。
图:后台对话界面的某个API可遍历应聘者的个人信息和聊天记录等出于对隐私和法律责任的担忧,两位研究人员并未深入浏览大量记录。他们仅从这6400万个ID中随机抽查了少数几条记录,发现全部都是完全真实的求职者信息。据Paradox.ai称,两位研究人员共访问了7条记录,其中5条包含了曾与McHire网站互动的用户的个人信息。Carroll和Curry向《连线》杂志提供了一小部分应聘者的姓名、联系方式及申请时间作为样本。《连线》杂志随后通过这些泄露的联系方式联系了其中两位应聘者,对方确认确实在所述时间申请了麦当劳的职位。
两人指出,虽然此次Paradox.ai的安全漏洞中泄露的个人信息并非最为敏感的数据,但对于应聘者而言,风险在于这些信息暴露了他们曾申请或意图申请麦当劳职位的事实。Curry表示:“如果有人想恶意利用这些信息,钓鱼攻击的风险会非常大。这不仅是一些可识别的个人信息或简历,而是关于那些等待麦当劳回复、充满期待的人的详细信息。”这意味着,诈骗者可能会冒充麦当劳招聘人员,以设置工资直发为由索取银行信息等。Curry说:“如果你想实施某种工资诈骗,这绝对是个理想的切入点。”两位研究人员还指出,一些人可能曾申请这类通常为最低工资的岗位,甚至未能成功录取,这可能会让他们感到尴尬。不过Carroll强调,他并不认为任何人因在麦当劳工作而应感到羞耻。
Paradox.ai后续发布了一篇博客文章,承认了此次安全漏洞,并强调该漏洞并未被研究人员以外的任何人发现,且研究人员仅访问了极少量用于验证数据真实性的信息。公司还透露,正计划建立一个“漏洞奖励计划”,以提升自身安全能力。Paradox.ai的首席法律官Stephanie King表示:“我们绝不会对这件事掉以轻心,尽管问题已经被迅速且有效地解决。我们对此事件承担全部责任。”麦当劳在提交给《连线》杂志的书面声明中补充,此次事件的全部责任归属于Paradox.ai,且问题已经立即得到处理。声明中写道:“我们对第三方供应商Paradox.ai此次不可接受的安全漏洞感到失望。在获悉该问题后,我们立即要求Paradox.ai修复漏洞,并于当天完成修复。我们对网络安全的承诺始终严肃认真,并将持续要求我们的第三方合作伙伴遵循我们对数据保护的高标准。”
点击下方卡片关注我们,带你一起读懂网络安全 ↓
📍发表于:中国 北京
🔗️ 阅读原文
