TH
TH
เกี่ยวกับเรา
Commerce Media Ventures Sdn Bhd (202401040819 / 1586666-W). All Rights Reserved
Powered by BigGo
ข่าว
บริษัท
เทคโนโลยี
ปัญญาประดิษฐ์

แพลตฟอร์มจ้างงาน AI ของ McDonald's เปิดเผยข้อมูลผู้สมัครงาน 64 ล้านคนเนื่องจากความปลอดภัยรหัสผ่านที่อ่อนแอ

ทีมบรรณาธิการ BigGo
แพลตฟอร์มจ้างงาน AI ของ McDonald's เปิดเผยข้อมูลผู้สมัครงาน 64 ล้านคนเนื่องจากความปลอดภัยรหัสผ่านที่อ่อนแอ

ช่องโหว่ด้านความปลอดภัยที่น่าตกใจในระบบสรรหาบุคลากรที่ขับเคลื่อนด้วย AI ของ McDonald's ได้เปิดเผยข้อมูลส่วนบุคคลของผู้สมัครงาน 64 ล้านคน ซึ่งเน้นย้ำถึงความท้าทายด้านความปลอดภัยทางไซเบอร์ที่ยังคงมีอยู่ในบรรษัทใหญ่ๆ การรั่วไหลนี้ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยที่สามารถเข้าถึงระบบในฐานะผู้ดูแลระบบได้โดยใช้รหัสผ่านที่พบได้ทั่วไปที่สุดในโลก

สstatisticsการละเมิดข้อมูล

  • จำนวนข้อมูลที่ได้รับผลกระทบทั้งหมด: ผู้สมัครงาน 64 ล้านราย
  • ข้อมูลประจำตัวที่ถูกบุกรุก: ชื่อผู้ใช้ "123456" / รหัสผ่าน "123456"
  • ประเภทข้อมูลที่รั่วไหล: ชื่อ, ที่อยู่อีเมล, หมายเลขโทรศัพท์, ที่อยู่บ้าน, ข้อมูลรัฐ, โทเค็นการยืนยันตัวตน, บันทึกการสนทนาทั้งหมด
  • วันที่ค้นพบ: 30 มิถุนายน
  • เวลาในการแก้ไข: ภายในไม่กี่ชั่วโมงหลังจากได้รับแจ้ง

แพลตฟอร์ม McHire และจุดประสงค์ของมัน

McDonald's เพิ่งเปิดตัว McHire ซึ่งเป็นแพลตฟอร์มการจ้างงานที่ขับเคลื่อนด้วย AI อันล้ำสมัย ที่พัฒนาขึ้นร่วมกับ Paradox.ai ระบบนี้มีแชทบอท AI ชื่อ Olivia ที่ทำให้กระบวนการสรรหาบุคลากรคล่องตัวขึ้นโดยการคัดกรองผู้สมัครงาน รวบรวมข้อมูลติดต่อ ประวัติการทำงาน และ CV ของพวกเขา และทำการประเมินบุคลิกภาพ วิธีการอัตโนมัตินี้ถูกออกแบบมาเพื่อทำให้ขั้นตอนการจ้างงานของ McDonald's ทันสมัยขึ้นและจัดการกับปริมาณใบสมัครงานจำนวนมหาศาลที่ยักษ์ใหญ่อาหารจานด่วนแห่งนี้ได้รับทั่วโลก

บริษัทที่เกี่ยวข้อง

  • McDonald's: เครือข่ายร้านอาหารจานด่วนที่ใช้แพลตฟอร์มการจ้างงาน
  • Paradox.ai: ผู้พัฒนาแพลตฟอร์ม McHire และแชทบอท Olivia AI
  • นักวิจัยด้านความปลอดภัย: Sam Curry และ Ian Carroll (ผู้ค้นพบช่องโหว่)

การเกิดขึ้นของการรั่วไหลด้านความปลอดภัย

นักวิจัยด้านความปลอดภัย Sam Curry และ Ian Carroll ค้นพบช่องโหว่นี้ขณะที่กำลังตรวจสอบมาตรการความปลอดภัยของแพลตฟอร์ม McHire หลังจากพบพอร์ทัลเข้าสู่ระบบบนเว็บไซต์ McHire.com พวกเขาพยายามเข้าถึงระบบแบ็กเอนด์โดยใช้รหัสผ่านที่พบได้ทั่วไป ความพยายามแรกของพวกเขาโดยใช้ admin สำหรับทั้งช่องชื่อผู้ใช้และรหัสผ่านล้มเหลว แต่ความพยายามครั้งที่สองประสบความสำเร็จเมื่อพวกเขาป้อน 123456 สำหรับทั้งสองข้อมูลรับรอง รหัสผ่านที่เรียบง่ายอย่างน่าอับอายนี้ทำให้พวกเขาสามารถเข้าถึงระบบทั้งหมดในฐานะผู้ดูแลระบบได้ทันที

ขอบเขตของการเปิดเผยข้อมูล

เมื่อเข้าไปในแพลตฟอร์มแล้ว นักวิจัยสามารถเข้าถึงคลังข้อมูลอันกว้างใหญ่ของข้อมูลที่ละเอียดอ่อนจากผู้สมัครงาน ข้อมูลที่เปิดเผยรวมถึงชื่อเต็ม ที่อยู่อีเมล หมายเลขโทรศัพท์ ที่อยู่บ้าน และรัฐที่ผู้สมัครอาศัยอยู่ นอกจากนี้ พวกเขายังสามารถดูโทเค็นการรับรองความถูกต้องที่ใช้สำหรับการเข้าถึงเว็บไซต์และบันทึกการสนทนาที่สมบูรณ์ของทุกการโต้ตอบระหว่างผู้สมัครและแชทบอท AI Olivia การรั่วไหลข้อมูลที่ครอบคลุมนี้ส่งผลกระทบต่อบุคคลกว่า 64 ล้านคนที่สมัครตำแหน่งงานที่ McDonald's ผ่านแพลตฟอร์มนี้

ผลกระทบด้านความปลอดภัยและความเสี่ยง

แม้ว่าข้อมูลที่เปิดเผยอาจดูค่อนข้างพื้นฐาน แต่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เตือนว่าข้อมูลดังกล่าวสามารถถูกใช้เป็นอาวุธสำหรับการโจมตีทางไซเบอร์ที่ซับซ้อนได้ อาชญากรสามารถใช้ข้อมูลส่วนบุคคลนี้เพื่อสร้างแคมเปญฟิชชิ่งที่น่าเชื่อถืออย่างมาก ซึ่งมีประสิทธิภาพเป็นพิเศษเนื่องจากพวกเขารู้ว่าเหยื่อเคยหางานกับ McDonald's มาก่อน การโจมตีที่มีเป้าหมายเหล่านี้สามารถทำหน้าที่เป็นประตูสู่การติดเชื้อมัลแวร์ที่ทำลายล้างมากขึ้น การปรับใช้แรนซัมแวร์ แผนการขโมยตัวตน และการดำเนินการฉ้อโกงการโอนเงิน

การตอบสนองของบริษัทและการแก้ไข

เมื่อได้รับแจ้งเกี่ยวกับช่องโหว่เมื่อวันที่ 30 มิถุนายน ทั้ง McDonald's และ Paradox.ai ตอบสนองอย่างรวดเร็วเพื่อแก้ไขข้อบกพร่องด้านความปลอดภัย McDonald's ยืนยันว่าข้อมูลรับรองที่ถูกบุกรุกได้ถูกปิดใช้งานทันทีและไม่สามารถใช้เข้าถึงแอปพลิเคชันได้ Paradox.ai แก้ไขปัญหาทางเทคนิคภายในไม่กี่ชั่วโมงหลังจากได้รับแจ้งและเผยแพร่คำอธิบายโดยละเอียดเกี่ยวกับเหตุการณ์นี้ บริษัทเปิดเผยว่าการรั่วไหลนี้เกี่ยวข้องกับบัญชีทดสอบเก่าที่มีมาตรฐานความปลอดภัยรหัสผ่านที่ล้าสมัยซึ่งไม่เคยได้รับการอัปเดตแม้จะมีการปรับปรุงโปรโตคอลความปลอดภัยโดยรวมแล้ว

ลำดับเหตุการณ์

  • เปิดตัวแพลตฟอร์ม: McDonald's เปิดตัว McHire พร้อมกับแชทบอท AI ชื่อ Olivia
  • 30 มิถุนายน: นักวิจัยด้านความปลอดภัยค้นพบและรายงานช่องโหว่
  • 30 มิถุนายน: McDonald's ปิดการใช้งานข้อมูลประจำตัวที่ถูกบุกรุก
  • 1 กรกฎาคม: Paradox.ai ยืนยันการแก้ไขปัญหาด้านความปลอดภัยแล้ว

บริบทความปลอดภัยทางไซเบอร์ในวงกว้าง

เหตุการณ์นี้เป็นตัวอย่างของปัญหาที่แพร่หลายในความปลอดภัยทางไซเบอร์ขององค์กร ซึ่งการปฏิบัติรหัสผ่านที่อ่อนแอยังคงเป็นปัญหาแม้แต่ในองค์กรใหญ่ๆ ผู้เชี่ยวชาญด้านความปลอดภัย Ian Carroll กล่าวว่ารหัสผ่านที่เดาได้ง่ายเช่น 123456 พบได้บ่อยกว่าที่คิดในสภาพแวดล้อมองค์กร การรั่วไหลนี้เน้นย้ำถึงความสำคัญอย่างยิ่งของการใช้นโยบายรหัสผ่านที่แข็งแกร่ง การตรวจสอบความปลอดภัยเป็นประจำ และการทดสอบการเจาะระบบที่ครอบคลุมเพื่อระบุช่องโหว่ก่อนที่ผู้ทำร้ายจะสามารถใช้ประโยชน์จากมันได้

บทเรียนสำหรับความปลอดภัยขององค์กร

ความล้มเหลวด้านความปลอดภัยของ McHire ทำหน้าที่เป็นการเตือนใจอย่างชัดเจนว่าความปลอดภัยทางไซเบอร์ไม่สามารถเป็นเรื่องที่คิดทีหลังในการพัฒนาและปรับใช้ซอฟต์แวร์ องค์กรต้องให้ความสำคัญกับความปลอดภัยตั้งแต่ขั้นตอนการออกแบบเริ่มต้นไปจนถึงการบำรุงรักษาและการอัปเดตอย่างต่อเนื่อง เหตุการณ์นี้โดยเฉพาะเน้นย้ำถึงอันตรายของระบบเก่าและบัญชีทดสอบที่อาจไม่ได้รับความสนใจด้านความปลอดภัยเท่ากับสภาพแวดล้อมการใช้งานจริง แต่สามารถให้การเข้าถึงข้อมูลที่ละเอียดอ่อนได้อย่างเท่าเทียมกัน

ข่าวที่เกี่ยวข้อง