McDonald’s Використав Пароль 123456, Вразивши 64 Мільйони Файлів Даних
1 min read

McDonald’s Використав Пароль 123456, Вразивши 64 Мільйони Файлів Даних

Бєляєва Христина0

Штучний інтелект (ШІ) радикально змінює різні сфери, зокрема, і кібербезпеку. Проте недавній витік даних, який стався в McDonald’s і в результаті якого було розкрито особисту інформацію близько 64 мільйонів осіб, які подали заявки на роботу в компанії, свідчить не стільки про недоліки ШІ, скільки про невиконання базового принципу кібербезпеки: ніколи не залишайте двері відчиненими.

Гігант фастфуду не став жертвою складного шкідливого програмного забезпечення чи експлуатації нульового дня. Натомість хакери здобули перемогу у простій грі на вгадування. Чат-бот для набору персоналу McHire, оснащений ШІ, використовував стандартні облікові дані 123456/123456 для доступу до адміністративного інтерфейсу облікових записів ресторанів McHire. Ніякої багатофакторної аутентифікації, ніякого захисту від атак брутфорсом – нічого.

Розроблений компанією Paradox.ai та впроваджений у тисячах ресторанів по всьому світу, McHire автоматизує багато процесів підбору персоналу, включаючи збір заявок та проведення інтерв’ю через чат-бота на ім’я «Олівія». Цей чат-бот мав доступ до детальної особистої інформації кандидатів на роботу з кількох десятків країн, але ключі до його адміністративної панелі вимагали лише одного – найбільш вгадуваного пароля в історії цифрових технологій.

Це не була елітна атака, і саме це робить ситуацію настільки тривожною. У ній не було задніх дверей, руткітів або поліморфного коду. Усе, що вимагалося – ввести «123456» у вікно авторизації та внести невелику зміну в URL.

Сьогоднішні кіберзагрози стають все більш різноманітними та підступними, від розкритих хмарних середовищ до вразливостей сторонніх постачальників. У новій цифровій реальності захист вашого периметра вже не обмежується брандмауерами або антивірусним програмним забезпеченням. Йдеться про ідентифікацію, інтеграцію та усвідомлення.

Відсутність надійних паролів призводить до витоків, оскільки ланцюги атак переходять від облікових даних до хаосу

Протягом десятиліть стратегії корпоративної кібербезпеки базувалися на чітко визначеному периметрі: захистити те, що всередині, і не допускати поганих акторів всередину. Але впровадження хмарних технологій, гібридна робота, інструменти сторонніх постачальників та політики «принеси свій пристрій» (BYOD) розірвали цей периметр на фрагменти, що складаються з розподілених точок доступу та непомітних векторів атак.

Проте витік даних McHire підкреслює неприємну правду про сучасну кібербезпеку: хоча компанії інвестують у новітні технології, багато з них все ще стають жертвами помилок минулого. У цьому випадку найпростіша помилка – використання стандартного пароля – відчинила двері.

“Це перевірений пораду, що часто надають”, – зазначив Бельсазар Лепе, співзасновник та генеральний директор Cerby. “Зробіть так, щоб ваші кінцеві користувачі могли легко увімкнути багатофакторну аутентифікацію. Дев’яносто дев’ять відсотків атак ідентифікації відбуваються через відсутність активованої МФА.”

Одним із провідних продуктів Amazon, Amazon Web Services (AWS), минулого літа оголосила про плани запровадити обов’язкову багатофакторну аутентифікацію для певних користувачів.

Проте проблема частково полягає в тому, як такі технології, як McHire, впроваджуються. Франшизна система McDonald’s є високо децентралізованою. Індивідуальні власники ресторанів, а не корпоративна штаб-квартира, часто управляють технологічним стеком, який регулює набори, планування та операції. Ця структура створює можливості для непослідовності та прогалин. Стороння платформа, така як McHire, може бути інтегрована локально, швидко налаштована і залишена в значній мірі незмінною після впровадження. Саме так стандартні облікові дані постійно зберігаються. Саме так ніхто не помічає проблему, поки дослідник не натрапить на них.

McDonald’s не відповів на запит щодо коментаря.

Розширення площі атаки створює плани для експлуатації

Глибша проблема часто криється у тому, як підприємства сприймають кібербезпеку, особливо коли йдеться про інструменти, що приймаються за межами традиційного ІТ-контролю. Інструменти на основі ШІ все частіше впроваджуються командами бізнес-ліній: управління персоналом, маркетинг, логістика. Вони розглядаються як програмне забезпечення як послуга, швидко встановлюються, легко використовуються і рідко підлягають ретельному аналізу. Поширене переконання, що «хтось інший» займається безпекою, залишається актуальним.

Сьогоднішня взаємопов’язана цифрова екосистема вимагає більш комплексного підходу до кібербезпеки, як було зазначено в report PYMNTS у вересні.

“У 2021 році було подано 400 позовів про витік даних,” – заявив Філіп Яннелла, співголова практики конфіденційності, безпеки та захисту даних в Blank Rome та автор книги “Кіберлітація: витік даних, конфіденційність даних та цифрові права”, видання 2025 року. “Минулого року їх було понад 2000.”

“Витоки даних завжди є найбільшою загрозою, особливо для фінансових установ… Ми пройдемо період, коли побачимо більше витоків – потенційно більш витратних, – поки компанії не зрозуміють, як з ними боротися,” – додав Яннелла. “Якщо ви банк, вам потрібно турбуватися про ваших постачальників.”

Related Posts