Šokantno curenje podataka: McDonald's chatbot Olivia izložen zbog Paradox.ai greške — 64 miliona kandidata ugroženo

Veliki sigurnosni propust u zapošljavanju: McDonald's chatbot Olivia otkriva podatke

Kako su LLM modeli brzo ušli u sisteme zapošljavanja, pojavili su se ozbiljni sigurnosni propusti. McDonald's je uveo Paradox.ai chatbot pod imenom Olivia kao virtualnog asistenta za regrutaciju. Olivia vodi kandidate kroz simuliranu chat konverzaciju, testove ličnosti i provjere, ali u praksi može imati štetne rupe u bezbjednosti.

Sigurnosni istraživači Ian Carroll i Sam Curry otkrili su kritičnu grešku u Paradox.ai sistemu. Koristeći korisničko ime i lozinku "123456", uspjeli su pristupiti administratorskom okruženju test restorana i uvidjeti mehaniku sistema. Pregledom koda pronašli su parametar sa brojem prijave 64,185,742 i zatim slučajno pristupili podacima drugih kandidata.

Napad je otkrio da su chatlogovi i lični podaci kandidata mogli biti izloženi: puna imena, adrese, brojevi telefona, dostupnost za rad i sirovi podaci chatova. "It turned out we had become the administrator of a test restaurant inside the McHire system,"

"We quickly realized this [system] allows us to access every chat interaction that has ever applied for a job at McDonald’s,"

Carroll je napisao i: "We immediately began disclosure of this issue once we realized the potential impact," i dodao: "The Paradox.ai security page just says that we do not have to worry about security!" Paradox.ai je kasnije zakrpao propust i promijenio administratorsku lozinku, ali slučaj pokazuje koliko je rizično brzopotezno uvođenje LLM chatbotova u proces zapošljavanja.