В Сеть слили 64 млн анкет с персональными данными кандидатов на работу.
Крупнейшая сеть быстрого питания в мире стала жертвой невероятно глупой утечки данных. Хакеры получили доступ к личной информации более 60 миллионов человек, подававших заявки на работу в McDonald’s, просто введя самый банальный пароль в истории интернета.
Как два исследователя взломали McDonald’s за полчаса
Независимые исследователи безопасности Иан Кэрролл и Сэм Карри случайно наткнулись на колоссальную дыру в системе безопасности портала найма McHire. Все началось с жалоб пользователей Reddit на бессмысленные ответы чатбота Olivia, который собирает данные соискателей.
Исследователи решили проверить бота на уязвимости. Сначала они искали возможности prompt injection — атак, позволяющих обмануть языковые модели специальными командами. Когда это не сработало, они попробовали зарегистрироваться как франчайзи McDonald’s.
На портале McHire они обнаружили страницу входа для «членов команды Paradox». Paradox.ai — это американская AI-компания, которая управляет чатботом Olivia. И тут произошло невероятное: они ввели «123456» как логин и пароль — и система их пропустила.
За 30 минут исследователи получили полный доступ ко всем заявкам, когда-либо поданным в McDonald’s за годы работы системы. Никаких дополнительных проверок, никакой двухфакторной аутентификации — просто пароль из шести единиц.
