Група хакерів отримала доступ до серверної частини чат-бота зі штучним інтелектом, франшизи швидкого харчування якого використовують для автоматизації найму працівників, повідомляє 404 Media.
Зловмисники могли прийняти або відхилити заявки конкретних претендентів на посаду та мали доступ до великої кількості конфіденційної інформації про кандидатів, франшизи швидкого харчування та саму компанію ШІ під назвою Chattr. Вірогідно, це стосувалося мережі швидкого харчування KFC.
Chattr рекламує себе як «перше в історії автоматизоване програмне забезпечення для погодинного найму робочої сили на основі цифрового помічника зі штучним інтелектом».
«Ми заново винайшли погодинний найм робочої сили за допомогою помічника з ШІ, який легко справляється із виснажливими завданнями, водночас особисто супроводжуючи кандидатів через досвід, який їм сподобається», – пояснюється в рекламному відео для Chattr.
MrBruh, один із залучених дослідників, повідомив 404 Media в електронному листі, що доступ міг бути використаний для отримання викупу за дані. Тобто «знищити базу даних, а потім попросити гроші, якщо вони хочуть їх повернути». Дослідник додав, що повідомив про проблему Chattr.
MrBruh написав у дописі в блозі, що цей епізод почався зі сценарію, який він написав для сканування відкритих облікових даних Firebase від компаній, які використовують .ai TLD. Firebase – це бекенд-платформа, якою зазвичай користуються розробники програм.
Підозра MrBruh полягала в тому, що в умовах постійного ажіотажу навколо продуктів штучного інтелекту «хтось візьме ярлик і забуде застосувати належні правила безпеки».
Скрипт повернув конфігурацію Firebase для того, що, вірогідно, стосувалося мережі швидкого харчування KFC. Дослідники взяли цю конфігурацію й помістили її у Firepwn. Цей інструмент доступний на Github і використовується для тестування безпеки застосунків за допомогою Firebase.
Спочатку експерти не мали змоги прочитати жодні збережені дані. Але після створення нового облікового запису користувача через Firebase вони отримали доступ для читання та запису в основній базі даних.
Це виявило велику кількість даних: імена, номери телефонів, адреси електронної пошти, місця розташування відділень, повідомлення, робочі зміни та деякі паролі, повідомляється у блозі MrBruh.
Дані пов’язані з менеджерами франчайзі, кандидатами на роботу і співробітниками Chattr (платформи чат-бота, з якою пов’язаний екземпляр Firebase).
Але злам не обмежувався лише набором даних KFC. Хакери змогли отримати доступ до інформаційної панелі адміністратора, відкриваючи список організацій, які використовують Chattr, і дозволяли приймати або відмовляти кандидатам на роботу, а також повертати платежі, здійснені у Chattr, пише MrBruh.
Дослідник поділився із 404 Media розширеним 30-хвилинним відео фахівців, які вивчають доступ до даних. На відео показано, як він вільно клацає по серверній частині Chattr, перемикаючись між користувачами, організаціями та відомостями про конкретних заявників. У цьому відео журнали розмов показують, що чат-бот автоматично відмовляє заявнику на основі певних критеріїв.
У своєму блозі MrBruh опублікував кілька скриншотів, які показують переписки між претендентами на роботу та ботом Chattr.
MrBruh зазначив, що розкрив вразливість 9 січня. Цю проблему вдалося вирішити через день. У Chattr не відповіли на запит про коментар від 404 Media.
KFC повідомив виданню в електронному листі, що Chattr працює лише з одним франчайзі KFC.
«Chattr не є постачальником, афілійованим із KFC Corporation. Вони працюють лише з одним франчайзі. Ми не володіємо інформацією щодо цієї домовленості», – написав речник.
Раніше ProIT повідомляв, що пакет Everything спричинив хаос у репозиторії NPM.
Також ми розповідали, що патч Microsoft за січень 2024 року виправляє 49 вразливостей і 12 помилок RCE.