麥當勞大規模採用 AI 技術簡化招聘流程,但一個嚴重資安漏洞揭示自動化招聘背後的風險。美國資安研究人員發現,麥當勞(McDonald’s)全球招聘網站 McHire 存在極為初級的漏洞,導致超過 6400 萬名求職者的個人資料長期處於無保護狀態。涉事系統由 AI 聊天機械人 Olivia 操作,開發商為 Paradox.ai。今次事件令業界關注,企業在追求數碼化效率時,是否已經忽略了最基本的資安守則。
麥當勞於全球超過 90% 特許經營店內使用 McHire 平台,利用 AI 聊天機械人 Olivia 協助篩選應徵者。Olivia 收集求職者姓名、電郵、電話、IP地址,甚至個性測試的答案與完整履歷。然而資安研究人員發現,只需簡單更改網址中的 ID 編號,就可隨意查閱歷年求職資料。部分帳戶自 2019 年起未再使用,但仍與現行資料庫相連,毫無保護。
研究人員 Ian Carroll 與 Sam Curry 起初是因為 Reddit 討論區有人投訴 Olivia 在對答時語意混亂,他們才決定深入調查。兩人發現 McHire 管理後台帳戶仍使用預設登入資料「123456」,連雙重認證都沒有。試驗僅花 30 分鐘,兩人便成功登入系統,獲得所有應徵紀錄的存取權限,凸顯 AI 招聘流程與現實資安文化之間的巨大落差。
Paradox.ai 的漏洞不只限於簡單登入密碼。研究團隊進一步發現,任何人只要將應徵者的 ID 編號作微調,就可取得應徵者的對話紀錄及個人資料,涉事資料規模超過 6400 萬份。雖然洩漏範圍並未包括金融資料或社會保障號碼,但足以令大量求職者面臨釣魚攻擊與身份盜用風險。
麥當勞強調,事件源於第三方供應商 Paradox.ai 的疏忽。公司發聲明表示,已於收到通報當日要求 Paradox.ai 完成修復,並承諾會持續審視合作夥伴的資安標準。Paradox.ai 亦於公司網誌發文承認事件,聲稱漏洞影響範圍僅限麥當勞,其他客戶並未受牽連,並強調只有五名求職者資料實際被研究人員查閱。他們已即時關閉相關測試帳戶,並於 7 月 1 日全面修補漏洞,同時啟動漏洞懸賞計劃,冀能防止類似事件再發生。
有資安專家指出,這次事件是企業過度依賴 AI 的警號。PointGuard AI 的 William Leichter 表示,企業常因追求技術革新而忽視資安基本功。過去雲端科技普及時亦曾出現類似問題,如今 AI 招聘系統成為最新重災區。當企業急於部署自動化工具,卻未有完善控管與監察措施,後果自然令人擔憂。
事件揭示三個明顯漏洞。首先是企業未有立即停用預設帳戶與簡單密碼,將測試帳戶直接連接到真實數據庫,讓攻擊者輕易入侵。其次,系統長期缺乏定期檢查與帳戶審核,數以年計的舊帳戶依然開放使用。第三,企業對第三方供應商監管不足,並未強制供應商實施嚴謹資安措施或雙重認證。
資安專家 Randolph Barr 指出,出現在實際營運環境內的「123456」帳號,反映問題不只是技術漏洞,更是企業文化失衡。若基本帳戶管理與存取控管都未做好,資安風險將迅速擴大。他認為,「黑客在幾分鐘內可以發現漏洞,惡意攻擊者絕對也可以,並會進一步尋找更多破綻。」
事件亦暴露了自動化招聘系統帶來的假安全感。企業往往誤以為交由 AI 處理個人資料便等於安全,忽略實際上安全措施仍需由人為制定與執行。若求職者將個人資料交給聊天機械人,而企業又未做好防護,後果恐怕遠比傳統招聘流程更嚴重。
專家建議,企業在部署 AI 招聘時,必須將資安措施視為基礎建設之一。企業應強制供應商進行年度或半年一次的安全審核,並簽訂具體的數據保護協議,涵蓋資料擁有權、加密、保留與刪除機制,並訂立違規罰則。組織亦應建立第三方風險管理團隊,持續監察供應商表現。
今次麥當勞招聘資料外洩事件,提醒求職者需要更謹慎保護個人資料,企業則必須將資安文化融入日常運營。自動化與便利雖可提升效率,但不能成為忽視基本安全守則的藉口。
資料來源:Fobes
分享到 :
最新影片
