ИИ-бот McDonald’s, который обрабатывает данные соискателей на должность в компании, «слил» исследователям по кибербезопасности всю хранившуюся информацию о потенциальных сотрудниках. В базах содержались имена, адреса электронной почты, номера телефонов и переписки в чате за несколько лет. Уязвимость оказалась банальной: слабый по всем меркам пароль 123456.
Вначале «этичные хакеры» попытались взломать систему через фронт-энд, используя стандартные техники, в том числе prompt injection (отправка нестандартных команд), однако без успеха. Тогда они обратили внимание на бэк-энд, путем нехитрых манипуляций найдя страницу для входа администратора Paradox.ai, которая и поставляет программное решение.
Здесь все оказалось значительно проще: админка приняла стандартный пароль 123456. Имя пользователя? Такое же. Кроме того, отсутствовала двухфакторная аутентификация. В итоге исследователи добрались до данных соискателей, случайно выбрали нескольких пользователей для проверки достоверности и подтвердили ее.
Затем они связались с McDonald’s и Paradox.ai, которые оперативно закрыли уязвимость, хотя McDonald’s были не слишком довольны уровнем безопасности подрядчика. Глава Paradox.ai, в свою очередь, открыла программу по поиску уязвимостей.
Реклама Новое мобильное приложение Белгазпромбанка — DailyFin
DailyFin — не просто приложение, а полноценный банковский сервис. Все ежедневные задачи — от регулярных платежей до размещения свободных средств — теперь будут у вас под рукой. DailyFin — это новый уровень взаимодействия с финансами.
• Стильный и современный дизайн интерфейса.
• История операций — все движения по карте в одном списке.
• Финансовые заметки: запишите важное прямо в приложении.
• Быстрая настройка необходимых платежей и переводов.
• Легкое управление картами и настройками под себя.
Скачать DailyFin можно в App Store и Google Play.
Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро