בשנים האחרונות, ענקיות טכנולוגיה ורשתות מזון מהיר אימצו כלים מבוססי בינה מלאכותית כדי לייעל תהליכים, ובין היתר, גם את תהליך הגיוס. מקדונלד'ס, למשל, עושה שימוש נרחב בבוט גיוס בשם "אוליביה", שנוצר על ידי חברת התוכנה Paradox.ai, כדי לסנן מועמדים, לאסוף קורות חיים ופרטי התקשרות, ואפילו לקיים מבחני אישיות. אולם, חלומות הייעול האלו נתקלו לאחרונה במציאות מטרידה: פרצת אבטחה מביכה, שנחשפה בשבוע שעבר, איפשרה גישה לנתונים אישיים של עשרות מיליוני מועמדים.
הפרצה, שנחשפה על ידי חוקרי האבטחה איאן קרול וסם קארי, היא עדות לכשלים בסיסיים ובלתי נסלחים בתחום אבטחת מידע. על פי החוקרים, מסתבר שניתן היה לגשת למאגרי הנתונים של Paradox.ai, המכילים את כל שיחותיה של "אוליביה" עם מועמדי מקדונלד'ס, באמצעות טריק פשוט להחריד – ניחוש סיסמה של חשבון מנהל. הסיסמה, תאמינו או לא, הייתה "123456".
חשיפה קלה מדי
החוקרים, בעלי רקורד עשיר בבדיקות אבטחה עצמאיות, גילו שהפרצות באתר McHire.com, שבו משתמשים רבים מזכייני מקדונלד'ס לטיפול בבקשות עבודה, היו פשוטות לניצול. הם הצליחו לקבל גישה לחשבון Paradox.ai ולבצע שאילתות על מסדי הנתונים של החברה, שהכילו את כל השיחות של משתמשי McHire עם אוליביה. נתונים אלה כוללים כ-64 מיליון רשומות, ובהן שמות מועמדים, כתובות דוא"ל ומספרי טלפון.
קרול ציין כי המוטיבציה שלו לבדוק את אבטחת המידע נבעה מסקרנותו לגבי החלטת מקדונלד'ס להעביר מועמדים לתהליך סינון על ידי בוט AI ומבחן אישיות. "פשוט חשבתי שזה די דיסטופי באופן ייחודי בהשוואה לתהליך גיוס רגיל", אמר קרול. "וזה מה שגרם לי לרצות לבדוק את זה יותר. אז התחלתי להגיש מועמדות לעבודה, ואחרי 30 דקות, הייתה לנו גישה מלאה כמעט לכל בקשה שהוגשה אי פעם למקדונלד'ס, כמה שנים אחורה".
תגובת החברות והשלכות הפרצה
דובר מטעם Paradox.ai שיתף פוסט בבלוג שהחברה תכננה לפרסם, ובו אישור לממצאי קרול וקארי. החברה ציינה כי רק חלק קטן מהרשומות אליהן ניגשו החוקרים הכילו מידע אישי, וכי הם אימתו שחשבון המנהל עם הסיסמה "123456" לא נגיש על ידי צד שלישי כלשהו פרט לחוקרים.
החברה הוסיפה כי היא מתכוונת להשיק תוכנית "Bug Bounty" כדי לזהות טוב יותר פרצות אבטחה בעתיד. "אנחנו לא מקלים ראש בעניין הזה, למרות שהוא נפתר במהירות וביעילות", אמרה סטפני קינג, מנהלת מחלקת המשפט הראשית של Paradox.ai. "אנחנו לוקחים אחריות".
מקדונלד'ס בתגובה הסכימה כי Paradox.ai היא האשמה בפרצה וציינו כי ברגע שנודע להם על הפרצה הם דרשו מ-Paradox.ai לתקן את הבעיה באופן מיידי, והיא נפתרה באותו יום שבו דווחה.
למרות שהמידע האישי שנחשף אינו הרגיש ביותר, כדוגמת מספרי תעודת זהות או כרטיסי אשראי, הסיכון למועמדים גבר בשל העובדה שהנתונים קשורים לידיעה על כוונתם לעבוד במקדונלד'ס. המשמעות היא שניתן היה להשתמש בנתונים אלה על ידי נוכלים המתחזים למגייסי מקדונלד'ס ומבקשים מידע פיננסי כדי להגדיר הפקדה ישירה, למשל. "אם רציתם לבצע איזושהי הונאה הקשורה לשכר, זו גישה טובה", הוסיף קארי. אירוע זה מדגיש שוב את החשיבות הקריטית של אבטחת מידע חזקה, לא רק בחברות גדולות אלא גם אצל ספקים חיצוניים המטפלים בנתונים רגישים.
