Olivia minden titkát megosztott a McDonald's-ban.
Több tízmillió álláskereső személyes adatai kerültek veszélybe a Paradox.ai által üzemeltetett McHire platformon. A biztonsági szakértők, akik a rendszer sebezhetőségeit kutatták, könnyedén bejutottak az adatokhoz az "123456" jelszó használatával, ami jól mutatja, mennyire fontos a jelszavak erőssége és a megfelelő védelem a digitális világban.
Hasonlóan más nagyvállalatokhoz, már a McDonald's is MI-chatbotokat integrált felvételi rendszereibe. Ilyen a Paradox.ai által épített, Olivia nevű robot is, ami "virtuális toborzási asszisztensként" tesztelgeti az álláskeresőket, és a beszámolók szerint egy emberi alkalmazott fotójával pörgeti nagy nyelvi modellekre jellemző hibákat és hallucinációkat. A Wired néhány nappal ezelőtt megjelent cikke alapján azonban nem ez a legnagyobb baj Oliviával: a megfelelő tudás birtokában egy hacker 64 millió McDonald's-os rekordhoz férhetett hozzá, a chatnaplókban a pályázók nevével, lakcímével, e-mail címével, telefonszámával és más adataival.
A riport alapján Ian Carroll és Sam Curry, kiberbiztonsági kutatók, sikeresen behatoltak a Paradox.ai modelljének háttérrendszerébe, miután az egyszerű "123456" felhasználónév és jelszó kombinációt használták. Ezzel lehetőségük nyílt megismerni egy McDonald's "tesztétterem" működését, és még az adminisztrátori jogokat is megszerezték a McHire platformon. A Paradox.ai tesztszoftverének elemzése során jelentkeztek egy próbahirdetésre, hogy alaposan feltérképezzék a folyamatot. Az alkalmazás mögötti kód gyors dekódolásával pedig felfedezték, hogyan érhetik el az összes eddigi csevegési interakciót, amely az álláskeresők és az AI-alapú chatbot között zajlott.
Nem szabad alábecsülni a bűnözők találékonyságát
A kutatók arról számoltak be, hogy amikor felfedezték a sérülékenység lehetséges következményeit, azonnal megpróbálták jelezni a problémát. Azonban nem találtak olyan kijelölt kapcsolattartót, akihez ilyen ügyben fordulhattak volna, így véletlenszerűen kiválasztott egyéneknek küldtek üzeneteket. Eközben a Paradoxnál sikerült orvosolni a sebezhetőséget, és már az adminisztrátori jelszó sem a hagyományos 123456. Mégis, a hírekből ismét világossá vált, hogy a nagy nyelvi modellek egyes alkalmazásait felelőtlenül üzemeltetik. Bár az így megszerezhető adatok között nem volt különösen érzékeny személyes információ, a kockázatokat tovább fokozza, hogy ezek a problémák egy konkrét témához kapcsolódnak.
A betöltött állásokhoz vagy az álláskeresési szándékhoz kapcsolódó információk nem csupán azonosításra szolgáló adatokat vagy önéletrajzokat nyújtanak a pályázókról. A csalók kihasználhatják ezeket az adatokat, és olyan emberekkel léphetnek kapcsolatba, akik lelkesen várják az értesítéseket a McDonald's-tól. Ezek a csalók könnyedén álcázhatják magukat a vállalat toborzóiként, és akár pénzügyi adatokat is kérhetnek azzal az ürüggyel, hogy lehetővé tegyék a közvetlen átutalásokat. A kutatók megjegyzik, hogy a bűnözők néha már az alapján is akcióba léphetnek, ha tudomást szereznek arról, hogy valaki a gyorsétteremben próbál munkát találni. Ugyanakkor hangsúlyozzák, hogy senkinek sem kell szégyenkeznie amiatt, ha szeretne dolgozni.
