Злоумышленники получили доступ к 64 миллионам анкет McDonald’s из-за пароля «123456»

Злоумышленники получили доступ к 64 миллионам анкет McDonald’s из-за пароля «123456»

СМИ: Мошенники хакнули ИИ-бота McDonalds для найма сотрудников, благодаря паролю 123456.

В Сеть слили 64 млн анкет с персональными данными кандидатов на работу.

Крупнейшая сеть быстрого питания в мире стала жертвой невероятно глупой утечки данных. Хакеры получили доступ к личной информации более 60 миллионов человек, подававших заявки на работу в McDonald’s, просто введя самый банальный пароль в истории интернета.

Как два исследователя взломали McDonald’s за полчаса

Независимые исследователи безопасности Иан Кэрролл и Сэм Карри случайно наткнулись на колоссальную дыру в системе безопасности портала найма McHire. Все началось с жалоб пользователей Reddit на бессмысленные ответы чатбота Olivia, который собирает данные соискателей.

Исследователи решили проверить бота на уязвимости. Сначала они искали возможности prompt injection — атак, позволяющих обмануть языковые модели специальными командами. Когда это не сработало, они попробовали зарегистрироваться как франчайзи McDonald’s.

На портале McHire они обнаружили страницу входа для «членов команды Paradox». Paradox.ai — это американская AI-компания, которая управляет чатботом Olivia. И тут произошло невероятное: они ввели «123456» как логин и пароль — и система их пропустила.

За 30 минут исследователи получили полный доступ ко всем заявкам, когда-либо поданным в McDonald’s за годы работы системы. Никаких дополнительных проверок, никакой двухфакторной аутентификации — просто пароль из шести единиц.