Post #4522

Картошка с соусом Система найма McDonald's на базе ИИ из-за нелепой ошибки слила личные данные 64 миллионов соискателей. Платформа McHire, разработанная компанией Paradox.ai, оказалась настоящей дырой в безопасности. Исследователи получили доступ ко всей системе всего за полчаса. Сначала они подобрали до смешного простой пароль «123456» к учётной записи администратора, где, конечно же, не было настроено никакой многофакторной аутентификации и это открыло им дверь в святая святых. Но на этом приключения не закончились. В базе данных обнаружилась классическая уязвимость IDOR. Просто перебирая идентификаторы кандидатов в API-запросе, можно было вытащить всё что угодно, включая имена, адреса, телефоны и полную историю переписок с ботом. Судя по всему, злоумышленники могли использовать эти данные для изощрённого фишинга, представляясь рекрутерами McDonald's, чтобы выманивать уже финансовую информацию. Paradox.ai поспешила залатать дыру в тот же день и даже запустила программу bug bounty. НеКасперский