Se você quiser Um trabalho no McDonald’s hoje, há uma boa chance de você ter que conversar com Olivia. Olivia não é, de fato, um ser humano, mas um Transmitido Isso exibe candidatos, pede suas informações de contato e currículo, os direciona para um teste de personalidade e, ocasionalmente, os torna “ficar louco”Ao entender repetidamente suas perguntas mais básicas.
Até a semana passada, a plataforma que administra o Olivia Chatbot, construída pela empresa de software de inteligência artificial Paradox.ai, também sofria de falhas de segurança absurdamente básicas. Como resultado, praticamente qualquer hacker poderia ter acessado os registros de cada bate -papo que Olivia já teve com os candidatos do McDonald’s – incluindo todas as informações pessoais que compartilharam nessas conversas – com truques tão diretos quanto adivinhar o nome de usuário e a senha “123456”.
Na quarta -feira, os pesquisadores de segurança Ian Carroll e Sam Curry revelado Que eles encontraram métodos simples para invadir o back -end da plataforma AI Chatbot em mchire.com, site do McDonald’s que muitos de seus franqueados usam para lidar com aplicativos de emprego. Carroll e Curry, hackers com um longo acompanhar registro De testes de segurança independentes, descobriram que vulnerabilidades simples baseadas na Web-incluindo adivinhar uma senha ridicularizante-as permitiram acessar uma conta paradox.ai e consultar os bancos de dados da empresa que mantiveram os bate-papos de todos os usuários da MCHIRE com Olivia. Os dados parecem incluir até 64 milhões de registros, incluindo nomes dos candidatos, endereços de email e números de telefone.
Carroll diz que apenas descobriu que a terrível falta de segurança em torno das informações dos candidatos porque ficou intrigado com a decisão do McDonald de sujeitar novos contratados em potencial a um examinador de chatbot da AI e um teste de personalidade. “Eu apenas pensei que era bastante distópico exclusivo em comparação com um processo de contratação normal, certo? E foi isso que me fez querer investir mais nele”, diz Carroll. “Então, comecei a me candidatar a um emprego e, depois de 30 minutos, tivemos acesso total a praticamente todos os aplicativos que já foram feitos para os anos de volta do McDonald.”
Quando Wired estendeu a mão para McDonald’s e Paradox.ai para comentar, um porta -voz do paradox.ai compartilhou um Postagem do blog A empresa planejava publicar que confirmou as descobertas de Carroll e Curry. A Companhia observou que apenas uma fração dos registros Carroll e Curry acessados continham informações pessoais e disse que verificou que a conta com a senha “123456” que expunha as informações “não foi acessada por terceiros” além dos pesquisadores. A empresa também acrescentou que está instituindo um programa de recompensa de insetos para obter melhor as vulnerabilidades de segurança no futuro. “Não tomamos esse assunto de ânimo leve, mesmo que tenha sido resolvido de maneira rápida e eficaz”, disse o diretor jurídico do Paradox.Ai, Stephanie King, à Wired em uma entrevista. “Nós possuímos isso.”
Em sua própria declaração à Wired, o McDonald’s concordou que o Paradox.ai era o culpado. “Estamos decepcionados com essa vulnerabilidade inaceitável de um fornecedor de terceiros, Paradox.ai. Assim que soubemos do problema, determinamos o paradox.ai para remediar o problema imediatamente e foi resolvido no mesmo dia em que nos foi relatado”, diz o comunicado. “Levamos a sério nosso compromisso com a segurança cibernética e continuaremos a responsabilizar nossos provedores de terceiros por atender aos nossos padrões de proteção de dados”.
