كشف روبوت التوظيف الذكي في ماكدونالدز عن بيانات 64 مليون طالب وظيفة في خرق بيانات كبير

كشفت كلمة المرور الضعيفة على روبوت ماكدونالدز للتوظيف بيانات ملايين المتقدمين للوظائف، مما أثار مخاوف جدية حول الذكاء الصناعي، والخصوصية، وممارسات الأمن الرقمي.

تم الكشف عن ثغرة أمنية خطيرة في منصة توظيف ماكدونالدز، والتي كشفت معلومات شخصية لملايين المتقدمين للوظائف باستخدام طرق بسيطة بشكل صادم، حسبما أعلنته WIRED لأول مرة. تم العثور على الثغرة الأمنية في موقع McHire.com، الذي يسمح للمرشحين بالتفاعل مع “أوليفيا”، الروبوت الدردشة الذكي الذي طورته Paradox.ai لعمليات فحص المرشحين.

تقرير WIRED أن خبراء الأمن إيان كارول وسام كاري حصلا على الوصول إلى نظام الخلفية لـ McHire من خلال الجمع بين اسم المستخدم وكلمة المرور “123456”. حصل الباحثون على الوصول إلى معلومات المتقدمين، بما في ذلك الأسماء، البريد الإلكتروني، أرقام الهاتف، وسجلات الدردشة من أكثر من 64 مليون سجل بعد الدخول إلى النظام.

قال كارول لـ WIRED: “أعتقدت فقط أنه كان مشهداً ديستوبياً فريدًا مقارنة بعملية التوظيف العادية”. وأضاف كارول: “لذا بدأت التقدم للحصول على وظيفة، وبعد نصف ساعة، كان لدينا الوصول الكامل إلى تقريبا كل طلب تم تقديمه لـ ماكدونالدز على مر السنين”.

أكدت Paradox.ai الخلل في بيان وقالت إن عددًا صغيرًا فقط من السجلات تحتوي على بيانات شخصية. لم يتم الوصول إلى الحساب المكشوف منذ عام 2019 وكان يفتقد إلى الحمايات الأساسية مثل المصادقة المتعددة العوامل. “نحن لا نتعامل مع هذا الموضوع بخفة اليد،” قالت المسؤولة القانونية الرئيسية في Paradox.ai، ستيفاني كينج، كما أفادت WIRED. “نحن نتحمل المسؤولية”، أضافت.

أفادت WIRED أن ماكدونالدز أصدرت بيانًا مختلفًا، الذي أشار إلى Paradox.ai كمصدر للمشكلة وأكد أن القضية تم حلها فوراً. “نحن نشعر بخيبة الأمل بسبب هذا الضعف غير المقبول من مزود الخدمة الثالث”، قالت الشركة.

قامت كارول وكاري بالتوضيح أن البيانات المكشوفة يمكن استخدامها لتنفيذ هجمات التصيد عبر تقمصها شخصية موظفي قسم الموارد البشرية في ماكدونالدز، الذين سيطلبون معلومات مالية حساسة من المتقدمين. تضمنت البيانات المكشوفة معلومات غير حساسة، ولكن سياقها كتطبيقات لوظائف بأجر الحد الأدنى أنشأت مخاطر محتملة للضرر بالمتقدمين.