麥當勞(McDonald’s)旗下AI招聘系統McHire日前被發現存在嚴重資安漏洞,預設管理員帳號與密碼均為「123456」,導致多達6400萬名申請者的敏感資訊一度處於風險之中。漏洞於2025年6月底由安全研究人員卡羅爾(Ian Carroll)及柯里(Sam Curry)揭發,McHire內部API同時存在IDOR(不安全直接對象引用)問題,使得研究人員能輕易查閱申請者的聯絡資料、聊天記錄與性格測驗結果。
研究人員表示,只需利用預設帳號密碼,即可登入McHire的實際管理後台,並發現內部API可隨意遞減ID,快速抓取完整求職者個人資訊。事件起因於Reddit用戶對「Olivia」自動招聘機器人回覆荒謬提出質疑,引發安全審查。漏洞披露後,麥當勞與平台開發商Paradox.ai於一小時內修補問題,並於7月1日全面關閉預設憑證與加強端點安全。
對於這起事件,Black Duck高級經理古普塔(Aditi Gupta)指出,現代人工智能平台同樣容易因基礎安全措施疏忽而出現重大風險,提醒企業應將資安作為核心優先。Desired Effect執行長多恩布什(Evan Dornbush)則批評業界過於倉促部署新技術,卻忽略技術本身對未授信用戶的防範能力。
雖然目前未有證據顯示資料被惡意利用,但Cequence Security資訊長巴爾(Randolph Barr)提醒,這批外洩資訊可能成為日後網路釣魚、詐騙與社會工程攻擊的溫床,若結合人工智能生成工具,受害者風險將進一步上升。
Paradox強調,僅有五名候選人資料遭安全人員查看,無其他第三方接觸資料,且僅限於一間公司。事件也凸顯現今招聘平台頻現資安漏洞,僅本週TalentHook便因雲端設定失誤外洩近2600萬筆個資。MineOS執行長尼桑(Kobi Nissan)呼籲,任何AI求職系統必須納入與核心業務等同的資安與風險控管標準,避免成為攻擊目標。
–
新聞來源:csoonline.com
封面來源:Adobe Stock
