В системе подбора персонала обнаружили серьезную брешь в безопасности, и все из-за банального пароля «123456».
Два специалиста по кибербезопасности, Иэн Кэрролл и Сэм Карри, всего за полчаса получили администраторский доступ к платформе McHire.com. Именно там чат-бот Olivia проводил первичный отбор кандидатов, передает mentoday.ru
Проблема заключалась в том, что один из аккаунтов был защищен крайне слабым паролем. Используя его, исследователи смогли получить доступ ко всей базе данных: имена, телефоны, электронные адреса и даже полные переписки с ботом — около 64 миллионов записей.
Кроме того, уязвимость позволяла просто менять ID в адресной строке браузера, чтобы просматривать чужие анкеты. Все данные оказались реальными, и любая случайная попытка открывала информацию о настоящих людях.
Разработчик платформы, компания Paradox.ai, признала утечку и в своем блоге пообещала укрепить защиту системы. Главный юрисконсульт компании Стефани Кинг заявила, что проблема уже устранена, и, по их данным, никто, кроме самих исследователей, не успел получить доступ к данным. В ближайшее время Paradox.ai планирует запустить программу поиска уязвимостей (bug bounty), чтобы предотвратить подобные инциденты в будущем.
McDonald’s, в свою очередь, выпустила заявление, в котором потребовала от Paradox.ai срочно исправить проблему. Компания также пообещала более строго контролировать работу подрядчиков.