McDonald’s pozwolił ukraść dane 64 milionów ludzi? Szokująca wtopa
Giełdy

McDonald’s pozwolił ukraść dane 64 milionów ludzi? Szokująca wtopa

Przez Marek Lesiuk (Morhainn) 137

Jak wynika z dostępnych informacji, „luka” w zabezpieczeniach informatycznych firmy McDonald’s doprowadziła do gigantycznego wycieku danych. I to w dodatku danych prywatnych, personalnych. Chodzi o informacje osób, które bądź to pracowały w jednym z tysięcy fast foodów tej sieci, bądź to chociaż się o tę pracę ubiegały. Niestety, dane, które przy tej okazji musiały podać, okazały się być chronione mniej niż należycie.

Odpowiedzialność za tę sytuacje przypisuje się botowi AI, którego McDonald’s używa do „usprawniania” procesu rekrutacji (czytaj: przeprowadzania go niższym kosztem). Chatbot ten, stworzony przez firmę Paradox, a określony uroczo McHire, oficjalnie nazywa się Olivia. I właśnie z nią rozmówić się muszą osoby chętne na pracę w popularnym McDonaldzie. A jest takich osób sporo – sieć ta jest popularnym miejscem pracy tymczasowej lub sezonowej, lub po prostu aby sobie dorobić.

Do zadań bota należy przesiew kandydatów, zadanie pytań z kwestionariusza, skierowanie aplikantów do zdalnego „testu osobowościowego”, oraz (ewentualnie) także prośba o CV oraz dane kontaktowe. Jak wynika z relacji, McHire ma zwyczaj niekiedy opacznie rozumieć odpowiedzi oraz powtarzać banalne pytania, czym wywołuje wzrost ciśnienia krwi u kandydatów. To jednak, jak się okazuje, tylko jeden z problemów, które firma miewa z techniką – i to ten dalece mniej brzemienny w skutki.

Co McDonald’s wie „w zaufaniu” o swoich kandydatach?

Jak ustaliła dwójka badaczy, Ian Carroll oraz Sam Curry, bot ten miał dwie kardynalne słabości. Pierwsza była „zasługą” człowieka. Choć być może w 2025 roku ciężko w to uwierzyć, to niektórzy nadal, jak się okazuje, stosują hasła „123” albo „1234”. Tak też było w przypadku logowania do panelu administracyjnego bota. Czy też prawie tak było – ktoś wzniósł się jednak bowiem na wyżyny kreatywności i dopisał dodatkowe dwie cyferki. Tak, że hasło okazało się brzmieć „123456”. Nasuwa się pytanie – jak i dlaczego…?

Drugi problem, nieco mniej medialny, ale głębszy. Badacze wykryli bowiem lukę w interfejsie API bota. Słabość ta, określana jako „Insecure Direct Object Reference”, umożliwiła Carrollowi oraz Curry’emu dostęp do informacji, które gromadziła Olivia vel McHire. Wszystkich informacji (!) – dotyczących każdej internetowej rozmowy o pracę z każdą osoba, która kiedykolwiek starała się o pracę w firmie McDonald’s, i miała przyjemność rozmawiać z botem.

Co za tym idzie, uzyskali oni dostęp do danych takich jak nazwiska, adresy, emaile, numery telefonu, życiorys czy dyspozycyjność czasowa. Co więcej, były tam nawet hasła użytkowników do ich kont w systemie rekrutacyjnym – przez co mogli oni zalogować się w ich imieniu, i w ich imieniu zmodyfikować wniosek albo dane. A użytkowników, o których mowa, były 64 miliony. I choć słabość tę, zdaniem badaczy, firma już wyeliminowała – to uczyniła to dopiero dzień po tym, jak swoje odkrycia ogłosili oni publicznie…

Dziękujemy, że przeczytałeś/aś nasz artykuł do końca. Obserwuj nas w Wiadomościach Google i bądź na bieżąco!
Marek Lesiuk (Morhainn)

Autor i analityk w sprawach ekonomii, polityki i bezpieczeństwa. Samouk technologiczny, odrzucający tezę, że odległe tematycznie zainteresowania się nie łączą. Amator fantastyki i sci-fi, w krypto i blockchainie widzący drogę do spełnienia się wizji rodem z tej ostatniej – tak tych inspirujących, jak i dystopijnych. Pasjonat militariów oraz dziejów wojen dawnych i współczesnych – a także finansów, które były ich paliwem. Gotów poprzeć swoją kieszenią tezę, że pieniądze kruszcowe nie powiedziały jeszcze ostatniego słowa.

Zostaw komentarz

Twój adres e-mail nie będzie opublikowany.