Umělá inteligence společnosti McDonald’s měla ve své databázi kontaktní údaje desítek milionů uchazečů.
V době umělé inteligence se hledání práce u McDonald’s může omezit na pouhou konverzaci s Olivií. Olivia však není personalistka, je to chatbot umělé inteligence určený k prověřování uchazečů. A donedávna tento systém trpěl tak zásadní bezpečnostní chybou, že to hraničí s neuvěřitelností.
Vždy doporučujeme používat silná hesla k ochraně přístupu k různým službám. Hesla jako „Heslo“ nebo jméno následované několika čísly nestačí, protože je lze snadno uhodnout. Společnost McDonald’s však tuto bezpečnostní lekci zřejmě vynechala, protože miliony záznamů uchazečů o zaměstnání tohoto řetězce rychlého občerstvení byly kompromitovány použitím hesla „123456“.
První bezpečnostní chyba v informatice
Bezpečnostní výzkumníci Ian Carroll a Sam Curry, známí svými výsledky v odhalování zranitelností, objevili řadu alarmujících chyb v platformě umělé inteligence Paradox.ai. Jedná se o relevantní platformu, neboť stojí za chatbotem Olivia, který je používán na pracovním portálu mnoha franšíz McDonald’s, McHire.com.
Související článek
Zjistili, že jde o zcela otevřená zadní vrátka. Pomocí tak jednoduché techniky, jako je uhodnutí uživatelského jména a hesla (123456), se výzkumníci dostali do databáze se všemi záznamy konverzací mezi Olivií a uchazeči o zaměstnání v McDonald’s.
"@McDonald’s AI Hiring Bot Exposed Millions of Applicants’ Data to Hackers Who Tried the Password ‘123456’ !!"
— Dez Blanchfield (@dez_blanchfield) July 9, 2025
Basic security flaws left the personal info of tens of millions of McDonald’s job-seekers vulnerable on the #McHire site built by #AI software company @ParadoxOlivia. pic.twitter.com/l4xVVw8T7y
Konkrétně měli snadný přístup k 64 milionům záznamů, které obsahovaly citlivé osobní údaje, jako jsou celá jména, e-mailové adresy a telefonní čísla.
Jedná se o závažný problém. Olivia je viditelnou tváří automatizovaného náborového procesu společnosti McDonald’s. Tento chatbot provádí úvodní screening: požádá kandidáty o kontaktní údaje, vyžádá si jejich životopisy a nasměruje je na osobnostní test. I když podle výzkumníků může někdy uchazeče „přivést k šílenství“ tím, že nerozumí základním nebo opakovaným otázkám.
Největší problém však spočívá v jeho bezpečnosti. Poté, co WIRED kontaktoval vývojáře softwaru, společnost Paradox.ai, potvrdili, že existuje přihlašovací účet s heslem „123456“, ale uvedli, že kromě těchto bezpečnostních výzkumníků k němu „neměla přístup žádná neoprávněná třetí strana“.
Stephanie Kingová, právní ředitelka společnosti Paradox.ai, uvedla: „Tuto záležitost jsme nebrali na lehkou váhu, ale byla vyřešena rychle a efektivně. Přijímáme odpovědnost.“ Jako opatření k prevenci budoucích incidentů společnost oznámila vytvoření programu odměn za chyby, který má podpořit odhalování zranitelností.
🚨McDonald’s AI Hiring Bot Exposed Millions of Applicants’ Data to Hackers Who Tried the Password ‘123456’
— Hackmanac (@H4ckmanac) July 9, 2025
Source:https://t.co/VUwsDjSsC6
Společnost McDonald’s se ze své strany od problému zcela distancovala a jako hlavního viníka označila přímo svého dodavatele, společnost Paradox.ai. Ve svém prohlášení podrobně uvedla následující:
„Jsme zklamáni touto nepřijatelnou zranitelností od dodavatele třetí strany, společnosti Paradox.ai. Jakmile jsme se o problému dozvěděli, dali jsme společnosti Paradox.ai pokyn k okamžité nápravě a problém byl vyřešen ještě týž den, kdy nám byl nahlášen.“
Tento incident poukazuje na rizika outsourcingu náborového procesu na umělou inteligenci, zejména pokud má přístup k osobním údajům uchazečů. Závažnější je však skutečnost, že v údajně špičkových technologických společnostech stále nejsou internalizována základní bezpečnostní opatření, což připomíná, že kybernetická bezpečnost zůstává základním pilířem, který nelze ignorovat.
Tento případ navíc poukazuje na důležitost správné správy hesel v kritických systémech. Podle studie společnosti Verizon je 81 % případů narušení bezpečnosti dat způsobeno slabými nebo odcizenými hesly, což podtrhuje potřebu přijmout přísnější bezpečnostní postupy, jako je používání vícefaktorové autentizace a pravidelná rotace hesel.