本站7月11日消息,麥當勞絕大多數(shù)特許經(jīng)營商都在使用的AI招聘平臺McHire存在安全漏洞,導致超過6400萬求職者的個人信息遭暴露。
據(jù)安全研究人員Ian Carroll的報告,麥當勞的招聘平臺McHire使用了Paradox.ai開發(fā)的名為Olivia的AI聊天機器人,來收集求職者的個人信息,包括姓名、電話號碼、電子郵件地址、物理地址等。
不過該平臺的安全性卻令人堪憂,研究人員發(fā)現(xiàn),通過使用用戶名和密碼“123456”,可以輕松登錄管理界面。
在成功登錄后,攻擊者只需修改網(wǎng)址中的數(shù)字參數(shù)(本案中為應聘者的ID編號),任何McHire賬戶持有者都能查看其他申請人的聊天交互機密信息。
研究人員指出,系統(tǒng)中保存的招聘記錄可能多達6400萬份,甚至能獲取用于冒充申請人登錄的身份驗證令牌,查看原始聊天記錄。
在發(fā)現(xiàn)這一問題后,研究人員嘗試聯(lián)系Paradox.ai和麥當勞以報告這一漏洞,但由于缺乏公開的安全披露聯(lián)系方式,他們不得不通過電子郵件聯(lián)系“隨機人員”。
最終,在研究人員的努力下,Paradox.ai和麥當勞確認了這一問題,并在7月初修復了相關(guān)漏洞。
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯(lián)系我們修改或刪除,多謝。
