Se você precisar trabalhar no McDonald’s hoje, pode ter que conversar com Olivia. Olivia não é realmente humana, mas é um chatbot de IA que exibe candidatos, busca informações e currículos de contato, os direciona para testes de personalidade e às vezes os torna “insanidade” repetidamente interpretando mal as perguntas mais básicas.
Até a semana passada, a plataforma que administra Olivia Chatbot, construída pela empresa de software de inteligência artificial Paradox.ai, também sofria de falhas de segurança básicas absurdas. Como resultado, praticamente todo hacker pode ter acesso a todos os registros de bate -papo que Olivia teve com os candidatos do McDonald’s. Inclui todas as informações pessoais que compartilhamos nessas conversas – tão fácil quanto adivinhar seu nome de usuário e senha “123456”.
Na quarta -feira, os pesquisadores de segurança Ian Carroll e Sam Curry revelaram que encontraram uma maneira fácil de invadir o back -end da plataforma AI Chatbot no site do McDonald’s McHire.com. Carol e Curry, hackers com um longo histórico de testes de segurança independentes, descobriram que uma simples vulnerabilidade baseada na Web de adivinhar senhas fracas enquanto ria, permitiu que eles acessem sua conta paradox.ai e consultem o banco de dados da empresa que mantém conversas com Olivia. Os dados parecem incluir até 64 milhões de registros, incluindo o nome do candidato, o endereço de e -mail e o número de telefone.
Carroll diz que ficou intrigado com a decisão de McDonald de enviar novos recrutas em potencial aos examinadores e testes de personalidade da AI Chatbot, e que ele só descobriu uma terrível falta de segurança nas informações do candidato. “Eu apenas pensei que era uma distopia bastante única em comparação com o processo usual de contratação, certo?” Então comecei a me candidatar a empregos. Então, 30 minutos depois, tive acesso total a quase todos os aplicativos que o McDonald havia retornado anos atrás. “
Quando a Wired entrou em contato com o McDonald’s e o Paradox.ai para solicitar comentários, um porta -voz da Paradox.ai compartilhou um post de blog que a empresa revisou os resultados da pesquisa Carroll e Curry estava programada para ser publicada. A empresa disse que apenas uma pequena parte dos registros que acessou Carol e Curry contém informações pessoais e que confirmou que a conta de senha 123456, que publicou informações de não pesquisadores, “não era acessada por terceiros”. A empresa também acrescentou que promulgou um programa de recompensa de insetos para melhor acompanhar as futuras vulnerabilidades de segurança. “Não subestimamos esse problema, apesar de ter sido resolvido de maneira rápida e eficaz”, disse Stephanie King, diretora jurídica da Paradox, à Wired em uma entrevista. “Nós possuímos isso.”
Em uma declaração única para a Wired, McDonald concordou que o Paradox.ai será responsabilizado. “Estamos decepcionados com essa vulnerabilidade inaceitável do nosso provedor de terceiros paradox.ai. Assim que aprendemos sobre o problema, exigimos o paradox.ai para corrigir o problema imediatamente.” Levamos nosso compromisso com a segurança cibernética e continuamos a responsabilizar nossos padrões de proteção de dados “.
