- McDonald’s недавно представила новую платформу для настройки под названием MCHIRE
- Он использует чат-бот с AI, который собирает CVS, CVS и контактные данные
- Исследователи смогли легко зарегистрироваться в бэкэнде и получить все данные, хранящиеся в ИИ
Эксперты заявили, что сторонняя цепочка поставок, которая создала восприимчивые данные для 64 миллионов человек, которые подали заявку на работу с McDonald’s.
Компания недавно представила новую платформу для настройки для AI-Atached Settings с добрым разрешением Partners Paradox.ai. Когда Mchire назвал Olivia, A-аффилированного чат-бота, который вызывает заявителя, собирает вашу контактную информацию, резюме и резюме и заставляет вас провести тест на личность.
У завершенного веб -сайта MCHIRE.com была ссылка для входа в систему, с которой два исследователя безопасности — Ян Кэрролл и Сэм Карри — зарегистрировались в бэкэнде. Вы пытались угадать пароль, и после первой попытки (администратора »как для имени пользователя, так и для полей пароля) вам удалось сделать второе — с« 123456 »в обоих полях.
Дыра в
Хотя это может быть шоком для некоторых, сказал Кэрролл, сказал Кэрролл Проводной Подобные пароли простых -к такими паролями «чаще, чем вы думаете».
Фактически, за эти годы было бесчисленное количество отчетов от экспертов по безопасности, которые предупреждают об использовании паролей, таких как «пароль», «Iloveyou», «123456», «Qwerty» и аналогично.
Когда вы достигли бэкэнда, вы получили доступ всех данных, собранных платформой, включая личную информацию, которая была передана в CVS и CVS: имена, адреса E -MAL и телефонные номера. Всего было выставлено 64 миллиона записей.
В то время как кража имен, электронных номеров и телефонных номеров может не звучать много, киберпреступники могут генерировать очень убедительные фишинговые атаки, в частности, чтобы знать, что жертвы были применены в McDonald’s в McDonald’s.
Это может привести к разрушительным вредоносным ПО и атакам вымогателей, краже личных данных и даже мошенничеству с проволоками.
Как только открытие было сделано, Paradox был уведомлен и быстро включил дыру. Компания объявила, что «только часть записей», к которой обращались исследователи, содержала личную информацию и что дыра ранее была обнаружена кем -либо еще.