|
|
现在找工作的人,估计不少都跟AI聊过天吧?全球快餐巨头麦当劳就用了一款叫McHire.com的AI系统帮他们招人,这个系统由一家叫Paradox.ai的公司提供,大量海外麦当劳加盟店都在用。系统里有个AI聊天机器人,名字叫奥利维亚(Olivia),专门跟应聘者对话,收大家的个人信息,指指路让应聘者去做性格测试,还回答些关于麦当劳的简单问题(虽然有时候这机器人答得也挺迷糊)。
可就在不久前,这机器人闹了个大新闻!两位专门找系统漏洞的安全专家,一个叫伊恩·卡罗尔(Ian Carroll),一个叫山姆·库里(Sam Curry),发现McHire.com这个平台直到很近期都存在一堆让人难以置信的安全问题,有些问题简单到令人发笑(《连线》杂志Wired最早报的这事儿)。这情况可严重了,要是让那些想偷数据的不法分子先发现了这些漏洞,那“奥利维亚”跟所有应聘者聊过的天,包括里面提到的那些私人信息,很可能就被看光光了。
卡罗尔和库里到底发现了啥?原来McHire.com后台的安保措施,犯了一连串严重错误,有些错误简直是低级到搞笑。他们是怎么拿到系统权限的呢?说出来你可能不信:他们随便登录了一个管理员账户,而这个账户的用户名和密码,居然都设成了“123456”!靠这个简单到家的操作,他们竟然就登进去了一个parodox.ai的账户,并且还碰到了存着所有应聘者聊天记录的数据库。这里面可包含足足6400万条记录!每一条记录里面,都有可能包含应聘者的名字、电子邮箱地址和电话号码。
为啥要去查这个系统?卡罗尔后来讲了自己的看法,他觉得用McHire来应聘,整个体验过程始终透着说不出的奇怪,跟普通招工流程很不一样,这好奇心就上来了。他开始申请一个麦当劳的职位想探探究竟,结果呢?才用了大概半小时,他们就拿到了能看多年来几乎所有麦当劳应聘记录的权限!他们先是跟奥利维亚聊了会儿,接着尝试用加盟店的身份注册系统。就在这注册的地方,他们看到了一个给Paradox.ai公司内部人员登录系统的入口。卡罗尔就试了试两套最常见也最不安全的登录信息组合:用户名和密码都用“admin”,以及都用“123456”。好家伙,“123456”这组居然生效了!
登进去后,卡罗尔和库里拿到了一个“麦当劳测试餐厅”(其实不存在)的管理权限。他们在里面给自己搞了个测试职位然后申请了。查看自己的申请时,他们又找到了另一个关键弱点:只要把自己申请记录里代表申请人的那个ID号随便改一改,就能看到其他应聘者的聊天内容和他们的个人资料!最后,他们一共查看了七个账户的信息,里面有五个账户包含着真实的个人隐私信息。
事情得说明白点:目前为止,没有任何应聘者的真实信息因为这个密码漏洞被黑客偷走或者漏到网上。这个特定的、用“123456”就能进管理员账户的漏洞,已经在McHire平台上被修好了。卡罗尔和库里的发现行为是安全测试,不是攻击,应该表扬(说不定麦当劳该请他们免费吃一辈子巨无霸)。但这个事件很清楚地告诉我们:那些存着大量我们私人敏感信息的系统,后台可能藏着意想不到的、蠢得离谱的漏洞大门,坏人要是找到这些门,想要进去可就太轻松了。
Paradox.ai公司的人已经出面证实了两位安全专家发现的漏洞情况,公司补充说,那个设成“123456”的管理员账户,没有证据表明被其他人用过。Paradox.ai的首席法律官斯蒂芬妮·金(Stephanie King)事后表态了:“我们很重视这事,哪怕漏洞已经很快补上了……这事儿责任在公司这边。”这认错态度还真不错。
那麦当劳这边啥态度呢?他们倒是说得挺干脆,直接把问题都推给了Paradox.ai,说这个平台存在“让人无法接受的安全缺陷”,重点强调这个漏洞在“报告给麦当劳的当天就被处理了”。意思就是,责任都是供应商的。
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
x
|
IP归属地
雷达卡
发表于 
提帖卡
置顶卡
锁帖卡
解锁卡
显目卡
千斤顶
