拿“123456”当账号密码麦当劳6400万条求职信息存在泄露风险-品论天涯网

麦当劳绝大多数特许经营商都在使用的AI招聘平台McHire存在安全漏洞，导致超过6400万求职者的个人信息遭暴露。据安全研究人员IanCarroll的报告，麦当劳的招聘平台McHire使用了Paradox.ai开发的名为Olivia的AI聊天机器人，来收集求职者的个人信息，包括姓名、电话号码、电子邮件地址、物理地址等。32J品论天涯网

32J品论天涯网

不过该平台的安全性却令人堪忧，研究人员发现，通过使用用户名和密码“123456”，可以轻松登录管理界面。32J品论天涯网

32J品论天涯网

在成功登录后，攻击者只需修改网址中的数字参数（本案中为应聘者的ID编号），任何McHire账户持有者都能查看其他申请人的聊天交互机密信息。32J品论天涯网

研究人员指出，系统中保存的招聘记录可能多达6400万份，甚至能获取用于冒充申请人登录的身份验证令牌，查看原始聊天记录。32J品论天涯网

32J品论天涯网

在发现这一问题后，研究人员尝试联系Paradox.ai和麦当劳以报告这一漏洞，但由于缺乏公开的安全披露联系方式，他们不得不通过电子邮件联系“随机人员”。32J品论天涯网

最终，在研究人员的努力下，Paradox.ai和麦当劳确认了这一问题，并在7月初修复了相关漏洞。32J品论天涯网