IT之家于7月10日发布消息称,《连线》杂志在9日的报道中指出,安全专家Ian Carroll与Sam Curry在上周一(即6月30日)尝试对麦当劳的AI招聘系统后台进行渗透,发现整个过程竟然出乎意料地简单。
麦当劳运用人工智能聊天机器人对求职者进行筛选。Carroll 表示,短短半小时内,该系统能够几乎全面查阅到麦当劳历年来所有求职者的档案信息。
最初,Carroll与Curry正在与Paradox.ai合作,共同设计并实施了一个名为“Olivia”的AI招聘专员系统,该系统部署在McHire.com平台上。在浏览页面过程中,他们意外发现了一个链接,这是Paradox.ai员工用于内部登录的。
经过两次尝试,两人便解锁了用户名和密码(“123456”),顺利获得了招聘后台的管理员权限。紧接着,他们还发现了一个链接,可以轻松浏览他们之前提供给“Olivia”的个人信息。经过进一步的测试,他们发现,只需更改求职者的ID编号,就能查看到其他求职者的姓名、电子邮箱和联系电话。两人表示,系统中保存的招聘记录可能多达 6400 万份。
Paradox.ai 在后续的博客中公开承认了存在的安全缺陷,并明确指出该漏洞并非由研究团队之外的人员所发现;他们两人仅对用于验证漏洞真实性的有限数据进行过访问。Paradox.ai 进一步透露,正考虑推出“漏洞赏金计划”,旨在加强自身的安全检测流程。
Stephanie King,Paradox.ai公司的首席法务官,明确指出:“我们并未将此事视为微不足道,尽管问题已迅速得到妥善处理,我们仍将承担全部责任。”
IT之家报道,麦当劳在一份书面声明中明确表示,此次事件完全由Paradox.ai引发,并且该漏洞在当天就已经得到了修复。对于第三方服务商Paradox.ai出现如此严重的安全漏洞,麦当劳表示深感遗憾。在发现问题后,麦当劳迅速要求Paradox.ai进行整改,并成功在当天完成了修复工作。我们对网络安全的重视程度非同一般,未来我们还将不断监督并促使合作伙伴遵循我们的数据保护规范。
