إذا أردت وظيفة في ماكدونالدز اليوم ، هناك فرصة جيدة عليك التحدث إلى أوليفيا. في الواقع ، ليست أوليفيا كائنًا إنسانًا ، ولكن بدلاً من ذلك ، يطلب من AI chatbot المتقدمين ، ويسأل عن معلومات الاتصال الخاصة بهم والسيرة الذاتية ، ويوجههم إلى اختبار الشخصية ، ويجعلهم أحيانًا “مجنونًا” من خلال سوء فهم أسئلةهم الأساسية بشكل متكرر.
حتى الأسبوع الماضي ، كانت المنصة التي تدير Olivia chatbot ، التي تم بناؤها من قبل شركة برامج الذكاء الاصطناعي Paradox.ai ، تعاني أيضًا من عيوب أمنية أساسية سخيفة. ونتيجة لذلك ، كان من الممكن أن يصل أي متسلل تقريبًا إلى سجلات كل دردشة كانت لدى أوليفيا مع المتقدمين في ماكدونالد – بما في ذلك جميع المعلومات الشخصية التي شاركوا فيها في تلك المحادثات – مع الحيل الواضحة مثل تخمين اسم المستخدم وكلمة المرور “123456.”
في يوم الأربعاء ، كشف باحثو الأمن إيان كارول وسام كاري أنهما وجدوا أساليب بسيطة لاختراق الواجهة الخلفية لمنصة AI chatbot على موقع MCHire.com ، موقع ماكدونالدز الذي يستخدمه العديد من أصحاب الامتياز في التعامل مع تطبيقات الوظائف. اكتشف Carroll and Curry ، المتسللين الذين لديهم سجل طويل من اختبار الأمان المستقل ، أن نقاط الضعف البسيطة القائمة على الويب-بما في ذلك تخمين كلمة مرور ضعيفة بشكل مثير للضحك-سمحوا لهم بالوصول إلى حساب paradox.ai والاستعلام عن قواعد بيانات الشركة التي تحمل كل محادثات مستخدم MCHIRE مع أوليفيا. يبدو أن البيانات تتضمن ما يصل إلى 64 مليون سجل ، بما في ذلك أسماء المتقدمين وعناوين البريد الإلكتروني وأرقام الهواتف.
يقول كارول إنه اكتشف فقط أن الافتقار المروع للأمان حول معلومات المتقدمين لأنه كان مفتونًا بقرار ماكدونالدز بإخضاع التعيينات الجديدة المحتملة لبرنامج AI chatbot واختبار الشخصية. يقول كارول: “لقد اعتقدت أنه كان عسرًا في ذلك الفريد مقارنةً بعملية التوظيف العادية ، أليس كذلك؟ وهذا ما جعلني أرغب في النظر فيه أكثر”. “لذلك بدأت في التقدم للحصول على وظيفة ، وبعد ذلك بعد 30 دقيقة ، تمكنا من الوصول الكامل إلى كل تطبيق تقريبًا تم تقديمه إلى McDonald's Years.”
عندما تواصلت Wired مع McDonald's و Paradox.ai للتعليق ، شارك المتحدث باسم Paradox.ai منشورًا في المدونة التي خططت للشركة لنشرها والتي أكدت نتائج كارول وكاري. لاحظت الشركة أن جزءًا صغيرًا من السجلات التي تم الوصول إليها في Carroll و Curry تحتوي على معلومات شخصية ، وقالت إنها تحقق من أن الحساب بكلمة مرور “123456” التي كشفت المعلومات “لم يتم الوصول إليها من قبل أي طرف ثالث” غير الباحثين. وأضافت الشركة أيضًا أنها تنشر في برنامج Bug Bounty لالتقاط نقاط الضعف في المستقبل بشكل أفضل. وقال ستيفاني كينج ، كبير المسؤولين القانونيين في Paradox.ai ، لـ Wired في مقابلة: “لا نأخذ هذا الأمر باستخفاف ، على الرغم من أنه تم حلها بسرعة وفعالية”. “نحن نمتلك هذا.”
في بيانها الخاص لـ Wired ، وافق ماكدونالدز على أن paradox.ai كان المسؤول. “لقد شعرنا بخيبة أمل من هذا الضعف غير المقبول من مزود الطرف الثالث ، Paradox.ai. بمجرد أن علمنا بهذه القضية ، قمنا بتكليف المفارقة. AAI بتعامل مع القضية على الفور ، وتم حلها في نفس اليوم الذي تم الإبلاغ عنه لنا” ، كما جاء في البيان. “نلتزم التزامنا بالأمن السيبراني على محمل الجد وسنواصل محاسبة مقدمي خدمات الطرف الثالث على تلبية معايير حماية البيانات الخاصة بنا.”
