亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

當安全研究人員Ian Carroll和Sam Curry決定嘗試入侵麥當勞AI聊天機器人后臺時，并未料到這一過程竟如此輕而易舉。

麥當勞使用“Olivia”AI聊天機器人來招聘新員工，這款AI招聘助手由供應商Paradox.ai開發并提供服務。

據外媒《連線》雜志報道，Carroll表示僅用了不到半小時，他們便“幾乎完全訪問了麥當勞多年來收到的所有求職簡歷”。他們于7月9日在博客中披露了這一過程。

研究員通過弱密碼進入AI后臺，可遍歷獲取6400萬條應聘者數據

當時，Carroll和Curry正在與“Olivia” AI招聘助手進行對話。他們在McHire.com網站上發現了一個供Paradox.ai內部員工使用的登錄鏈接。

圖：通過弱密碼登錄了McHire后臺

僅嘗試兩次，他們就成功猜中該后臺的用戶名和密碼（密碼竟是“123456”）。隨后，兩人獲得了該招聘平臺的管理員權限。接著，他們又找到另一個鏈接，進一步訪問了此前與“Olivia”機器人共享的數據。很快，他們意識到，只需隨機修改應聘者的ID號，就能查看所有與聊天機器人有過互動的應聘者的姓名、電子郵件和電話號碼。他們向《連線》雜志透露，這類信息可能多達6400萬條。

圖：后臺對話界面的某個API可遍歷應聘者的個人信息和聊天記錄等

出于對隱私和法律責任的擔憂，兩位研究人員并未深入瀏覽大量記錄。他們僅從這6400萬個ID中隨機抽查了少數幾條記錄，發現全部都是完全真實的求職者信息。據Paradox.ai稱，兩位研究人員共訪問了7條記錄，其中5條包含了曾與McHire網站互動的用戶的個人信息。

Carroll和Curry向《連線》雜志提供了一小部分應聘者的姓名、聯系方式及申請時間作為樣本?！哆B線》雜志隨后通過這些泄露的聯系方式聯系了其中兩位應聘者，對方確認確實在所述時間申請了麥當勞的職位。

暴露數據可被用于釣魚詐騙

兩人指出，雖然此次Paradox.ai的安全漏洞中泄露的個人信息并非最為敏感的數據，但對于應聘者而言，風險在于這些信息暴露了他們曾申請或意圖申請麥當勞職位的事實。

Curry表示：“如果有人想惡意利用這些信息，釣魚攻擊的風險會非常大。這不僅是一些可識別的個人信息或簡歷，而是關于那些等待麥當勞回復、充滿期待的人的詳細信息?！?/p>

這意味著，詐騙者可能會冒充麥當勞招聘人員，以設置工資直發為由索取銀行信息等。Curry說：“如果你想實施某種工資詐騙，這絕對是個理想的切入點?！?/p>

兩位研究人員還指出，一些人可能曾申請這類通常為最低工資的崗位，甚至未能成功錄取，這可能會讓他們感到尷尬。不過Carroll強調，他并不認為任何人因在麥當勞工作而應感到羞恥。

AI供應商計劃建立漏洞獎勵計劃提升安全能力

Paradox.ai后續發布了一篇博客文章，承認了此次安全漏洞，并強調該漏洞并未被研究人員以外的任何人發現，且研究人員僅訪問了極少量用于驗證數據真實性的信息。公司還透露，正計劃建立一個“漏洞獎勵計劃”，以提升自身安全能力。

Paradox.ai的首席法律官Stephanie King表示：“我們絕不會對這件事掉以輕心，盡管問題已經被迅速且有效地解決。我們對此事件承擔全部責任。”

麥當勞在提交給《連線》雜志的書面聲明中補充，此次事件的全部責任歸屬于Paradox.ai，且問題已經立即得到處理。

聲明中寫道：“我們對第三方供應商Paradox.ai此次不可接受的安全漏洞感到失望。在獲悉該問題后，我們立即要求Paradox.ai修復漏洞，并于當天完成修復。我們對網絡安全的承諾始終嚴肅認真，并將持續要求我們的第三方合作伙伴遵循我們對數據保護的高標準?！?/p>

參考資料：https://www.thedailybeast.com/hackers-used-simple-password-to-access-mcdonalds-ai-hiring-bot-applicant-data/

聲明：本文來自安全內參，稿件和圖片版權均歸原作者所有。所涉觀點不代表東方安全立場，轉載目的在于傳遞更多信息。如有侵權，請聯系rhliu@skdlabs.com，我們將及時按原作者或權利人的意愿予以更正。