Több tízmillió álláskereső személyes adatai kerültek veszélybe a Paradox.ai által létrehozott McHire oldalon, ahol a sebezhetőséget feltáró biztonsági kutatók taroltak az 123456 jelszóval.

Hasonlóan más nagyvállalatokhoz, már a McDonald's is MI-chatbotokat integrált felvételi rendszereibe. Ilyen a Paradox.ai által épített, Olivia nevű robot is, ami "virtuális toborzási asszisztensként" tesztelgeti az álláskeresőket, és a beszámolók szerint egy emberi alkalmazott fotójával pörgeti nagy nyelvi modellekre jellemző hibákat és hallucinációkat. A Wired néhány nappal ezelőtt megjelent cikke alapján azonban nem ez a legnagyobb baj Oliviával: a megfelelő tudás birtokában egy hacker 64 millió McDonald's-os rekordhoz férhetett hozzá, a chatnaplókban a pályázók nevével, lakcímével, e-mail címével, telefonszámával és más adataival.

Ahogy a riportból kiderül, Ian Carroll és Sam Curry kiberbiztonsági kutatók az 123456 felhasználónév és jelszó használatával törtek be a Paradox.ai modelljének backend rendszerébe, ahol megismerhették egy McDonald's-os "tesztétterem" működését, sőt annak adminisztrátorai is lettek a McHire rendszeren belül. A Paradox.ai tesztszoftverét vizsgálva jelentkeztek az egyik próbahirdetésre, hogy tanulmányozzák a folyamatot, az alkalmazás mögött futó kódból pedig gyorsan rájöttek, hogyan férhetnek hozzá minden olyan csevegési interakcióhoz, ami valaha is lezajlott az álláskeresők és a mesterséges intelligenciára épülő chatbot között.

Nem szabad alábecsülni a bűnözők találékonyságát

A kutatók arról is beszámoltak, hogy amint felismerték a sérülékenység lehetséges hatásait, azonnal jelezni próbálták a problémát, de nem találtak kijelölt kapcsolattartót, akihez ilyen ügyben fordulhattak volna – így véletlenszerűen kiválasztott embereknek írtak. Közben a Paradoxnál javították a sebezhetőséget, sőt már az adminjelszó sem 123456, de a híradásokból megint világossá vált, hogy a nagy nyelvi modellek egyes alkalmazásait milyen felelőtlen módon működtetik. Bár a megszerezhető adatok között nem volt különösen érzékeny személyes információ, a kockázatokat növeli, hogy egy pontos témához kapcsolódnak.

Azok ugyanis a betöltött állásokhoz vagy az álláskeresési szándékhoz rendelve már nemcsak azonosításra alkalmas dolgokat vagy akár önéletrajzokat biztosítanak a pályázókról, hanem a csalók olyan emberekkel vehetnék fel a kapcsolatot, akik lelkesen várják az e-maileket a McDonald's-tól. Előttük kiadhatják magukat például a vállalat toborzóinak, akik éppen pénzügyi információt kérnek a közvetlen átutalások lehetővé tételére. A kutatók szerint a bűnözők esetenként már az is felhasználhatják, ha tudomást szereznek róla, hogy valaki a gyorsétteremben keresett magának állást, bár ehhez hozzáteszik, hogy senkinek sem kellene szégyellnie, ha dolgozni szeretne.

Részletek a Wired oldalán »

Közösség & HR

Megmakacsolta magát, óriási uniós bírságra készülhet a Meta

A Reuters szerint a Facebook tulajdonosa nem hajlandó további változtatásokra a felhasználói adatok kezelését is érintő előfizetéses modelljében, ami napi szintű bírságot érhet az Európai Unióban.
 
A kompromittált rendszerek, a dark weben felbukkanó ügyféladatok vagy a zsarolóvírus-kampányok következményei már a vezérigazgatói és pénzügyi igazgatói irodában csapódnak le – jogi, reputációs és üzleti szinten is. Lehet és kell is védekezni ellene.
Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2025 Bitport.hu Média Kft. Minden jog fenntartva.