Texte brut à partir de chats avec 64 millions de candidats exposés
Facepalm: Presque tous ceux qui ont postulé pour travailler chez McDonald’s plus tôt cette année ont peut-être exposé leur nom, son numéro de téléphone, son adresse e-mail, son adresse physique et d’autres informations personnelles. Des chercheurs en sécurité ont fait irruption sans effort dans le système administratif supervisant les interactions des candidats avec le chatbot générateur d’IA qui mène la plupart des entretiens d’embauche.
Le chercheur en sécurité Ian Carroll s’est connecté à un compte administratif pour Paradox.ai, la société qui a construit l’intervieweur d’emploi McDonald’s, en utilisant « 123456 » comme nom d’utilisateur et mot de passe. L’examen du code du site interne a rapidement accordé l’accès au texte brut à partir de chaque chat qu’elle a jamais effectué.
Les demandes d’emploi à 90% des franchises de McDonald’s mettent des entretiens avec le chatbot IA de Paradox, nommé Olivia. L’IA recueille les noms, les emplacements, les adresses e-mail, les numéros de téléphone, la disponibilité de décalage et d’autres informations personnelles avant de effectuer des tests de personnalité rudimentaires. Les surveillants humains consultent et accédez à ces informations à l’aide de comptes administratifs paradox.
Bien que le site d’embauche de McDonald’s tente de pousser les utilisateurs vers une seule connexion, Carroll a remarqué un lien dans un petit texte qui a conduit à une page de connexion paradoxale distincte. Étonnamment, il a accepté le nom d’utilisateur et le mot de passe par défaut, révélant immédiatement le fonctionnement interne du système.
Après avoir découvert une API dans le code du site, Carroll a diminué le paramètre principal d’une demande XHR pour un chat de test, qui a accordé l’accès à l’historique de chat d’Olivia pour 64 millions de candidats. En plus des données personnelles, la fuite révèle également des jetons d’authentification et des modifications du statut d’emploi.
De plus, lorsque Carroll a tenté d’alerter le paradoxe de la violation, il n’a pas pu trouver de contact de divulgation de sécurité. La page de sécurité de l’entreprise consiste principalement en une simple assurance que les utilisateurs ne devraient pas avoir à se soucier de la sécurité. Finalement, après que les chercheurs ont envoyé un e-mail aux «personnes au hasard», Paradox et McDonald’s ont confirmé qu’ils avaient résolu le problème début juillet.
Carroll a également remarqué la gamme relativement limitée de réponses d’Olivia, qui ont tiré un ridicule en ligne. Un Redditor a partagé des captures d’écran d’une conversation où Olivia les a dirigés vers le site Web d’embauche de la chaîne, qui les a renvoyés au chatbot. Lorsque le demandeur s’est plaint, l’IA a répondu de façon absurde.
L’embauche est loin d’être le seul domaine où McDonald’s a intégré l’IA dans ses opérations. En mars, la société a annoncé son intention d’utiliser la technologie pour l’administration, la détection d’équipements, les commandes de vérification et d’autres tâches. L’année dernière, McDonald’s a mis fin aux tests pour un système de conduite sur l’IA développé par IBM.
Malgré les dangers évidents de l’utilisation de « 123456 » comme mot de passe, il apparaît toujours régulièrement dans les listes des informations d’identification les plus courantes.
