“`html
麥當勞AI招聘系統爆驚天漏洞!6400萬求職資料外洩,恐成網絡攻擊肥羊
麥當勞近年積極擁抱AI技術,簡化招聘流程,然而,一項令人震驚的資安漏洞浮出水面,揭示了自動化招聘背後潛藏的巨大風險。研究人員發現,麥當勞全球招聘網站McHire存在嚴重漏洞,導致超過6400萬求職者的個人資料長期暴露於風險之中。這不僅是對求職者隱私的重大侵犯,更可能使他們成為網絡攻擊的目標。企業在追求數位效率的同時,是否忽略了最基本的資安防護?
漏洞細節與影響分析
- 漏洞是如何被發現的?
資安研究人員Ian Carroll與Sam Curry最初因Reddit討論區用戶投訴AI聊天機器人Olivia語意混亂而展開調查。他們意外發現McHire管理後台帳戶竟使用預設登入資料「123456」,且未啟用雙重認證,輕易便可存取大量應徵紀錄。 - 哪些資料被洩漏了?
洩漏的資料包括求職者的姓名、電郵、電話、IP地址、個性測試答案以及完整履歷等。雖然不包含金融資料或社會保障號碼,但這些資訊足以讓不法分子進行精準的釣魚攻擊和身份盜用。 - 受影響範圍有多大?
超過6400萬份求職資料暴露於風險之中,這些資料可能自2019年起就未再使用,但仍與現行資料庫相連,顯示系統長期缺乏維護與安全更新。
麥當勞與Paradox.ai的回應
麥當勞將責任歸咎於第三方供應商Paradox.ai,並聲稱已要求其修復漏洞,並承諾持續審視合作夥伴的資安標準。Paradox.ai也承認事件,表示漏洞影響範圍僅限麥當勞,並聲稱只有五名求職者資料被研究人員查閱。他們已關閉相關測試帳戶,並修補漏洞,同時啟動漏洞懸賞計劃。
資安專家的警示:過度依賴AI的危險
資安專家指出,此次事件是企業過度依賴AI的警號。企業往往為了追求技術革新而忽略資安基本功。PointGuard AI 的William Leichter表示,過去雲端科技普及時亦曾出現類似問題,如今 AI 招聘系統成為最新重災區。當企業急於部署自動化工具,卻未有完善控管與監察措施,後果不堪設想。
三大明顯漏洞
- 企業未立即停用預設帳戶與簡單密碼,將測試帳戶直接連接到真實數據庫。
- 系統長期缺乏定期檢查與帳戶審核,數以年計的舊帳戶依然開放使用。
- 企業對第三方供應商監管不足,並未強制供應商實施嚴謹資安措施或雙重認證。
假安全感與人為疏忽
事件也暴露了自動化招聘系統帶來的假安全感。企業往往誤以為交由AI處理個人資料便等於安全,忽略實際上安全措施仍需由人為制定與執行。若求職者將個人資料交給聊天機械人,而企業又未做好防護,後果恐怕遠比傳統招聘流程更嚴重。
未來展望:強化資安文化
專家建議,企業在部署AI招聘時,必須將資安措施視為基礎建設之一。企業應強制供應商進行年度或半年一次的安全審核,並簽訂具體的數據保護協議,涵蓋資料擁有權、加密、保留與刪除機制,並訂立違規罰則。組織亦應建立第三方風險管理團隊,持續監察供應商表現。
常見問題QA
相關連結:
Share this content:
