McHire: когда «123456» — ключ к миллионам данных
Недавно в процессе внедрения искусственного интеллекта для найма сотрудников сеть McDonald's решила потрясти рынок цифровыми инновациями. Вместо обычного собеседования теперь общается чатбот по имени Olivia — всё это внутри платформы McHire, разработанной при участии компании Paradox.ai. Olivia искусно собирает контакты, резюме, проводит тесты — казалось бы, машиностроительный рай эпохи цифровизации.
Но реальность смертных, как всегда, далека от мифологического совершенства: миллионы соискателей доверяли McHire свои личные данные, а взамен получили уровень безопасности, достойный памятника человеческой халатности.
Два исследователя, Иэн Кэрролл и Сэм Керри, заинтересовались логином сайта McHire.com и в лучших традициях Пятикнижия попытались проникнуть внутрь. Их первая попытка — банальный «admin/admin» — не сработала. Вторая — легендарные «123456/123456» — открыла перед ними врата к бэкэнду, где тихо покоились 64 миллиона записей: имена, почты, номера телефонов кандидатов на работу в McDonald's.
Не удивляйтесь — по словам Кэрролла, такие простые пароли в корпоративных системах встречаются чаще, чем можно предположить. Традиция держать дверь открытой для любого охотника за данными живёт и здравствует даже в двадцать первом веке: отчёты специалистов по кибербезопасности регулярно воскрешают пароли вроде «password», «iloveyou», «qwerty».
Что всё это значит для любителей бесплатных бургеров? Когда ваши личные данные учатся плавать в океане утечек, злоумышленники получают возможность не только проводить фишинговые атаки, но и заниматься кражей личности, рассылкой вредоносного ПО и прочими радостями цифрового века.
А что же McDonald’s? Партнеры из Paradox.ai оперативно закрыли “дыру” после уведомления. Представители компании поспешили успокоить публику, заверив, что только «часть записей» содержала персональные данные, а никто до исследователей в этот рай не попадал.
Мораль истории? Никогда не называйте свой пароль «123456», даже если вы — Корпорация века и ваш чатбот умеет больше, чем средний бригадир. Ведь если человеку свойственно ошибаться, то корпорации делают это в масштабах, достойных древних мифов.
McDonald’s и Paradox.ai покорили очередную цифровую вершину – величайшей наивностью. Внедрение AI в процесс найма вроде бы должно было увеличить безопасность, но вместо защиты люди получили фарс, где человеческая лень и цифровая беспечность объединились. Два исследователя, словно дети в песочнице, с помощью «123456» попадают в тщательно охраняемый бэкэнд – тут и контакты, и резюме 64 миллионов. Это не единичный взлом, а системная болезнь: простые пароли встречаются даже у крупных компаний, желающих казаться инновационными. Запоздалое оправдание Paradox.ai и McDonald’s звучит особенно нелепо на фоне масштабности проблемы. История стара как человек: тот, кто доверяет машины глупцам и автоматизирует глупость, неизбежно пожинает плоды в виде кражи данных, угроз и позорных утечек. Сегодня цифровой Эдем McDonald’s открыт для всех – заходи, если знаешь шесть цифр. Реальность: автоматизация человеческой глупости работает лучше, чем сама автоматизация.