เว็บสมัครงาน ร้านอาหาร ตั้งรหัสผ่านสุดชุ่ย ทำข้อมูลกว่า 64 ล้านคน เสี่ยงรั่วไหล
เว็บไซต์รับสมัครงานของ McDonald ใช้ AI ตั้งรหัสสุดแสนจะง่าย ทำให้สามารถเข้าถึงข้อมูลผู้สมัครงานมากกว่า 64 ล้านคน และทำให้มีความเสี่ยงที่ข้อมูลเหล่านั้นจะรั่วไหล เพื่อใช้ในการก่ออาชญากรรมไซเบอร์
เกิดเหตุการณ์น่าอับอายในวงการเทคโนโลยีและความปลอดภัยไซเบอร์ เมื่อแพลตฟอร์มรับสมัครงานที่ขับเคลื่อนด้วย AI สุดล้ำของ McDonald’s ถูกค้นพบว่ามีช่องโหว่ด้านความปลอดภัยที่ชุ่ยอย่างไม่น่าเชื่อ ทำให้นักวิจัยสามารถเข้าระบบหลังบ้านได้ด้วยรหัสผ่านยอดนิยมอย่าง 123456 ความผิดพลาดครั้งนี้ส่งผลให้ข้อมูลส่วนตัวที่ละเอียดอ่อนของผู้สมัครงานมากถึง 64 ล้านคนตกอยู่ในความเสี่ยงที่จะถูกนำไปใช้ในการโจมตีแบบฟิชชิ่งและอาชญากรรมทางไซเบอร์อื่น ๆ
ผู้เชี่ยวชาญระบุว่า เหตุการณ์นี้เป็นช่องโหว่ของระบบที่ไม่ได้เกิดจากระบบของ McDonald’s โดยตรง แต่เกิดจากบริษัทพาร์ทเนอร์ผู้พัฒนาแพลตฟอร์มรับสมัครงานด้วย AI ที่ชื่อว่า McHire โดย AI ดังกล่าวจะใช้แชตบอตชื่อ โอลิเวีย ในการคัดกรองผู้สมัคร รวบรวมข้อมูลติดต่อ ประวัติการทำงาน และให้ทำแบบทดสอบบุคลิกภาพ
เรื่องราวถูกเปิดเผยโดยนักวิจัยด้านความปลอดภัย 2 คน คือ เอียน แคร์รอล และ แซม เคอร์รี พวกเขาพบลิงก์สำหรับล็อกอินเข้าระบบหลังบ้านบนเว็บไซต์ McHire.com และได้ลองเดารหัสผ่าน
ครั้งแรก พวกเขาลองใช้ admin ทั้งในช่องชื่อผู้ใช้และรหัสผ่าน ซึ่งไม่สำเร็จ แต่ในความพยายามครั้งที่สอง พวกเขาก็ต้องตกใจเมื่อสามารถล็อกอินได้สำเร็จด้วยการใช้ 123456 ทั้งสองช่อง
เอียน แคร์รอล หนึ่งในผู้ค้นพบ กล่าวกับนิตยสาร Wired ว่า “มันอาจจะดูน่าตกใจสำหรับบางคน แต่รหัสผ่านที่เดาง่ายแบบนี้มีอยู่ทั่วไปมากกว่าที่คุณคิด” เมื่อเข้าถึงระบบหลังบ้านได้ พวกเขาก็พบข้อมูลทั้งหมดที่แพลตฟอร์มรวบรวมไว้ รวมถึงข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) จากประวัติของผู้สมัครงาน เช่น ชื่อ อีเมล และเบอร์โทรศัพท์ รวมทั้งสิ้น 64 ล้านรายการ
แม้การขโมยแค่ชื่อ อีเมล และเบอร์โทรศัพท์อาจดูไม่ร้ายแรง แต่อาชญากรไซเบอร์สามารถนำข้อมูลเหล่านี้ไปสร้างการโจมตีแบบ ฟิชชิ่ง (Phishing) ที่น่าเชื่อถืออย่างยิ่งได้ โดยเฉพาะเมื่อพวกเขารู้ว่าเหยื่อเคยสมัครงานกับ McDonald’s มาก่อน ซึ่งอาจนำไปสู่การหลอกให้ติดตั้งมัลแวร์ แรนซัมแวร์ (มัลแวร์เรียกค่าไถ่) การโจรกรรมข้อมูลส่วนตัว หรือแม้แต่การหลอกให้โอนเงินได้
ทันทีที่ค้นพบช่องโหว่ นักวิจัยได้แจ้งไปยังบริษัท Paradox ซึ่งได้ทำการแก้ไขและอุดช่องโหว่ดังกล่าวอย่างรวดเร็ว โดยบริษัทได้ชี้แจงกับ Wired ว่า “มีเพียงเศษเสี้ยวของข้อมูล” ที่นักวิจัยเข้าถึงได้เท่านั้นที่มีข้อมูลส่วนบุคคล และยืนยันว่าช่องโหว่นี้ไม่เคยถูกใครค้นพบมาก่อนหน้านี้
ที่มา: Techradar
อ่านข่าวที่เกี่ยวข้อง