ИИ-бот для найма сотрудников McDonald’s раскрыл исследователям данные миллионов соискателей

Cпециалисты по кибербезопасности Иэн Кэрролл и Сэм Карри сообщили ^[1], что нашли простые способы взлома бэкенда платформы чат-ботов с искусственным интеллектом ^[2] на сайте McHire.com, который используют в McDonald’s для обработки резюме. В итоге они получили данные миллионов соискателей.

Для того, чтобы устроиться в McDonald’s, соискатели общаются с чат‑ботом «Оливия». Он проверяет кандидатов, запрашивает их контактную информацию и резюме, а также направляет их на личностный тест.

До прошлой недели платформа, на которой работает «Оливия», разработанная компанией Paradox.ai, была подвержена уязвимостям безопасности. В результате практически любой хакер мог получить доступ к записям всех чатов ИИ-бота с кандидатами на работу. Административный интерфейс для владельцев ресторанов принимал стандартные логин и пароль «123456». При этом внутренний API содержал уязвимость типа IDOR (Insecure Direct Object Reference), позволяющую получить доступ к любым чатам и контактам.

Исследователи прошли процесс подачи заявки через сайт McHire. Кэрролл и Карри обнаружили, что простые веб-уязвимости, включая подбор одного слабого пароля, позволяли им получить доступ к учётной записи Paradox.ai и выполнить запросы к базам данных компании, где хранились все чаты пользователей McHire с «Оливией». Для этого было достаточно менять идентификаторы. 

Полученные данные содержат около 64 млн записей, включая имена, адреса электронной почты и номера телефонов кандидатов.

Кэрролл отмечает: «Я начал искать работу, и через 30 минут мы получили полный доступ практически ко всем заявкам, когда-либо поданным в McDonald’s за последние годы». 

В Paradox.ai подтвердили ^[3] результаты проверки безопасности. Компания заявила, что доступ к учётной записи со слабым паролем получили только эти исследователи. Чтобы предотвратить подобное в будущем, Paradox запустила программу вознаграждения за найденные ошибки ^[4]. 

В McDonald’s согласились с тем, что вина лежит на Paradox.ai. «Мы разочарованы этой неприемлемой уязвимостью, допущенной сторонним поставщиком услуг Paradox.ai. Как только мы узнали о проблеме, то поручили Paradox.ai немедленно устранить её, и она была решена в тот же день», — говорится в заявлении.

Ранее опросы показали, что 76% организаций, которые наняли сотрудников за последний год, используют ^[5] тесты для определения соответствия кандидата требованиям. Тренд связан с тем, что многие соискатели используют искусственный интеллект при подготовке резюме. Теперь компаниям приходится чаще использовать когнитивные и личностные тесты, чтобы отсеивать кандидатов и лучше понимать их реальные способности.

Между тем исследователи Роттердамской школы менеджмента Университета Эразмуса выяснили ^[6], что использование компаниями искусственного интеллекта в процессе найма может влиять на поведение ^[7] кандидатов. В итоге это приводит к необъективным результатам отбора. Эксперименты показали, что соискатели пытаются «понравиться» ИИ и для этого особо подчёркивают свои аналитические способности и склонны преуменьшать влияние эмоциональности.