افشای اطلاعات ۶۴ میلیون متقاضی کار در مک‌دونالد به‌دلیل رمز عبور «۱۲۳۴۵۶»

در یک رسوایی بزرگ امنیتی، اطلاعات شخصی حدود ۶۴ میلیون متقاضی شغل در مک‌دونالد افشا شد. این افشاگری توسط ایان کارول، پژوهشگر امنیتی صورت گرفت که موفق شد تنها با وارد کردن «123456» به‌عنوان نام کاربری و رمز عبور، وارد سامانه مدیریت چت‌بات استخدامی این شرکت شود.

به گزارش سیلاد و به نقل از تک‌اسپات، چت‌بات مورد نظر، «اولیویا» نام دارد و توسط شرکت Paradox.ai طراحی شده است. این چت‌بات، که در ۹۰٪ شعب مک‌دونالد در فرآیند استخدام به‌کار می‌رود، وظیفه انجام مصاحبه‌های اولیه، جمع‌آوری اطلاعات شخصی مانند نام، شماره تلفن، ایمیل، آدرس، زمان‌بندی شیفت موردنظر و آزمون‌های ساده شخصیتی را برعهده دارد. اما با این رخنه امنیتی، نه تنها متن کامل گفتگوهای انجام‌شده فاش شده، بلکه توکن‌های احراز هویت و حتی وضعیت استخدام افراد نیز در دسترس قرار گرفته است.

کارول پس از کشف یک لینک پنهان در صفحه ورود، به بخش لاگین مخصوص کارکنان Paradox هدایت شد. به شکل حیرت‌انگیزی، این بخش بدون هیچ لایه امنیتی قوی، با اطلاعات پیش‌فرض اجازه ورود داد. سپس با بررسی کدهای داخلی سایت، کارول موفق شد از طریق یک API، به تاریخچه گفت‌وگوهای ۶۴ میلیون متقاضی دسترسی پیدا کند.

 

نکته نگران‌کننده‌تر این بود که تلاش‌های اولیه برای اطلاع‌رسانی این نقض امنیتی به شرکت Paradox بی‌پاسخ ماند؛ زیرا این شرکت حتی راه ارتباطی مشخصی برای گزارش‌های امنیتی ارائه نکرده بود. تنها پس از ارسال ایمیل به افراد مختلف در شرکت، موضوع به‌طور رسمی تأیید و در اوایل ژوئیه (اواسط تیر) برطرف شد.

افزون بر مشکلات امنیتی، عملکرد محدود چت‌بات «اولیویا» نیز مورد انتقاد کاربران قرار گرفته است. برخی کاربران در شبکه‌های اجتماعی به اشتراک گذاشتند که این چت‌بات با پاسخ‌های تکراری و بی‌معنا، افراد را در حلقه‌ای بی‌پایان میان وب‌سایت استخدام و چت‌بات سرگردان می‌کرد.

این حادثه، زنگ هشداری جدی درباره امنیت در حوزه استفاده گسترده از هوش مصنوعی در فرآیندهای منابع انسانی است؛ به‌ویژه زمانی که رمز عبور «۱۲۳۴۵۶» همچنان در صدر فهرست رایج‌ترین رمزهای عبور جهان قرار دارد.