Ngày 30/6 vừa qua, hai chuyên gia nghiên cứu an ninh mạng là Ian Carroll và Sam Curry đã bất ngờ phát hiện ra một lỗ hổng nghiêm trọng trong hệ thống tuyển dụng qua trí tuệ nhân tạo (AI) của
McDonald's và việc "
hack" vào bên trong lại dễ đến mức khiến họ cảm thấy quá ngỡ ngàng.
McDonald's đang cho sử dụng chatbot có tên là
"Olivia", được phát minh ra do công ty
Paradox.ai, để tự động trò chuyện và tuyển dụng ứng viên. Khi Carroll và Curry thử trò chuyện với
Olivia trên nền tảng
McHire.com, họ đã phát hiện ra một sự liên kết đăng nhập dành cho nhân viên nội bộ của
Paradox.ai. Điều đáng nói là chỉ sau hai lần thử đăng nhập vô, họ đã đoán ra đúng tài khoản quản trị viên với mật khẩu đơn giản đến mức không tưởng:
"123456".
Truy cập vào thông tin cá nhân của hàng triệu ứng viên
Sau khi đăng nhập thành công, hai chuyên gia nghiên cứu này lại được quyền truy cập gần như toàn bộ các ứng dụng và số liệu tuyển dụng mà
McDonald’s đã từng sử dụng trong nhiều năm qua. Họ nhanh chóng nhận ra rằng chỉ cần cho thay đổi mã định danh của ứng viên là có thể xem tên, email và số điện thoại của bất cứ ai đã từng là ứng viên được tuyển hay không, ước tính lên đến khoảng 64 triệu hồ sơ.
(Minh họa)
Paradox.ai sau đó đã phải thừa nhận về lỗ hổng này trong một bài blog và cam kết rằng số liệu này không bị rò rỉ ra ngoài nhóm nghiên cứu nói trên. Họ cũng cho biết sẽ cho triển khai chương trình
"trả thưởng lỗi" để mời các chuyên gia bảo mật phát hiện thêm các điểm yếu tương tự, nếu có.
Đại diện pháp lý của
Paradox.ai, bà Stephanie King, khẳng định:
"Chúng tôi không xem nhẹ việc này, dù đã được cho khắc phục nhanh chóng". Phía
McDonald's cũng cho biết lỗi này hoàn toàn nằm ở bên cung cấp dịch vụ và đã được xử lý ngay trong ngày mà họ nhận được báo cáo.
"Chúng tôi rất thất vọng trước lỗ hổng không thể chấp nhận này", tuyên bố của
McDonald’s có viết.
** Tham khảo thêm ở đây:
-
https://www.thedailybeast.com/hacker...pplicant-data/