Исследователи заинтересовались происходящим, увидев на Reddit многочисленные пользователей на «неадекватные» ответы Olivia.
Olivia работает на платформе компании Paradox.ai, занимающейся разработкой ИИ-софта. Бот используется McDonald’s для отбора кандидатов, запрашивает их контактную информацию и резюме, а также направляет их на прохождение тестов. Порой ИИ неправильно понимает даже самые простые вопросы, благодаря чему и «прославился» в соцсетях.
Изначально специалисты хотели протестировать Olivia на уязвимость к инъекциям промптов, однако не обнаружили ничего интересного. Тогда они решили проверить, что произойдет, если они зарегистрируются в качестве франчайзи McDonald's, желая попытаться получить доступ к бэкенду сайта. Но вместо этого эксперты обнаружили на сайте McHire.com любопытную ссылку для входа в систему для сотрудников Paradox.ai.
Кэрролл пишет, что для начала опробовал два наиболее распространенных набора учетных данных: сначала «admin/admin», а затем «123456/123456». И вторая из этих двух комбинаций сработала.
С помощью этих учетных данных Кэрролл и Карри получили административный доступ к тестовому ресторану McDonald's на McHire и выяснили, что все сотрудники, которые там числятся — это разработчики Paradox.ai из Вьетнама.
Также они нашли ссылку на очевидные тестовые вакансии для этого несуществующего McDonald's, кликнули на одну вакансию, подали заявку и увидели свою собственную заявку в бэкенд-системе, к которому теперь имели доступ. После этого Кэрролл и Карри обнаружили вторую критическую уязвимость в McHire. Попытавшись изменить ID своей заявки (число, превышавшее 64 млн), они поняли, что могут просто уменьшать число и получать доступ данным других соискателей и их контактной информации (в том числе именам, адресам электронной почты и номерам телефонов).
Исследователи не решились массово запрашивать доступ к записям, опасаясь нарушения конфиденциальности и обвинений во взломе. Однако они проверили несколько ID и получили реальные данные настоящих людей.
Эксперты отмечают, что личная информация, раскрытая в результате этих проблем, не относилась к разряду наиболее конфиденциальной. Однако риски для соискателей возрастали в силу того, что данные были напрямую связаны с информацией об их работе в McDonald's или их намерении устроиться туда.
Представители Paradox.ai опубликовали в блоге, в котором сообщили, что тестовый аккаунт с паролем «123456», к которому получили доступ эксперты, не использовался с 2019 года и давно должен был быть отключен.
Подчеркивается, что никто кроме Карри и Кэролла не использовал эту уязвимость и не получал доступ к данным соискателей. А исследователи получили доступ лишь к семи записям, пять из которых действительно содержали личную информацию людей, которые взаимодействовали с сайтом McHire.
В компании добавили, что теперь запустят программу bug bounty, чтобы в будущем лучше выявлять уязвимости в своих системах.
В свою очередь, представители McDonald's сообщили изданию , что вина за произошедшее полностью лежит на Paradox.ai.
