У системі підбору персоналу виявили серйозну прогалину в безпеці — і все через банальний пароль «123456». Двоє фахівців з кібербезпеки, Ієн Керролл та Сем Каррі, всього за пів години отримали адміністративний доступ до платформи McHire.com. Саме там чат-бот Olivia проводив первинний відбір кандидатів.
Проблема полягала в тому, що один із облікових записів був захищений надзвичайно слабким паролем. Використавши його, дослідники змогли отримати доступ до всієї бази даних: імен, телефонів, електронних адрес і навіть повних переписок із ботом — загалом близько 64 мільйонів записів.
Крім того, уразливість дозволяла просто змінювати ID у рядку браузера, щоб переглядати анкети інших кандидатів. Усі дані виявилися справжніми, і будь-яка випадкова спроба відкривала інформацію про реальних людей.
Розробник платформи — компанія Paradox.ai — визнала витік і пообіцяла в своєму блозі посилити захист системи. Головна юрисконсультка компанії Стефані Кінг заявила, що проблему вже усунено і, за їхніми даними, ніхто, окрім самих дослідників, не встиг отримати доступ до даних. У найближчий час Paradox.ai планує запустити програму винагород за виявлення вразливостей (bug bounty), щоб запобігти подібним інцидентам у майбутньому.
McDonald’s, у свою чергу, оприлюднила заяву з вимогою до Paradox.ai терміново виправити проблему. Компанія також пообіцяла суворіше контролювати роботу своїх підрядників.