Ερευνητές ασφαλείας ανακάλυψαν ότι μπορούσαν να έχουν πρόσβαση στις προσωπικές πληροφορίες 64 εκατομμυρίων ανθρώπων που είχαν υποβάλει αίτηση για εργασία στα McDonald’s, κυρίως εισερχόμενοι στο chatbot πρόσληψης εργασίας της εταιρείας με το όνομα χρήστη και τον κωδικό πρόσβασης “123456.”
Ο Ian Carroll και ο Sam Curry έγραψαν σε μια ανάρτηση στο blog ότι «κατά τη διάρκεια μιας επιπόλαιας ανασκόπησης ασφαλείας μερικών ωρών», βρήκαν το πρόβλημα του κωδικού πρόσβασης και μια άλλη απλή ευπάθεια ασφαλείας σε ένα εσωτερικό API, που επέτρεπε την πρόσβαση σε προηγούμενες συνομιλίες των αιτούντων με το chatbot, που ονομάζεται McHire, το οποίο παρέχεται στα McDonald’s από την Paradox.ai.
Τα προσωπικά δεδομένα που είδαν οι ερευνητές περιλάμβαναν τα ονόματα των αιτούντων, τις διευθύνσεις email, τις διευθύνσεις κατοικίας και τους αριθμούς τηλεφώνου.
Η Paradox.ai έγραψε σε μια ανάρτηση στο blog ότι έλυσε τα προβλήματα «μέσα σε λίγες ώρες» μετά την αναφορά των ερευνητών και ότι «σε κανένα σημείο δεν διέρρευσαν οι πληροφορίες των υποψηφίων στο διαδίκτυο ούτε κατέστησαν δημόσια διαθέσιμες.»
Τα ευρήματα των ερευνητών αναφέρθηκαν πρώτα από το Wired.
