פגם אבטחה בפלטפורמת הגיוס McHire של מקדונלד'ס איפשר גישה למידע רגיש של מועמדים דרך פרטי ניהול ברירת מחדל ו- API פגיע. הפגם בפלטפורמה המופעלת על ידי בינה מלאכותית, חשף מידע אישי של כ- 64 מיליון מחפשי עבודה. פרצת האבטחה שהתגלתה בסוף יוני 2025 על ידי חוקרי הסייבר איאן קרול וסם קארי, הייתה התחברות לחשבון ניהול באמצעות פרטי ברירת מחדל ו- IDOR (הפניה ישירה לא מאובטחת) בממשק API פנימי שאיפשר גישה להיסטוריית הצ'אט של המועמדים עם Olivia – בוט הגיוס האוטומטי של McHire.
"הפריצה של מקדונלד'ס מאשרת שאפילו מערכות בינה מלאכותית מתוחכמות עלולות להיפגע על ידי פגמי אבטחה בסיסיים", אמרה אדיטי גופטה – מנהלת בכירה לייעוץ שירותים מקצועיים בחברת Black Duck והוסיפה: "הבהלה לפרוס טכנולוגיה חדשה לא צריכה לפגוע בעקרונות אבטחה בסיסיים. על ארגונים לתעדף אמצעי אבטחה בסיסיים כדי להבטיח אמון בלתי מתפשר בתוכנה שלהם, במיוחד עבור עולם המווסת יותר ויותר על ידי בינה מלאכותית."
הפגמים, שהתגלו במהלך בדיקת אבטחה בעקבות תלונות של משתמשי Reddit על 'תשובות חסרות המשמעות' של הבוט, תוקנו במהירות על ידי מקדונלד'ס ו- Paradox.ai (יצרנית Olivia) עם חשיפתם.
על פי פוסט בבלוג של קרול, קיבל ממשק הניהול של McHire עבור זכייני מסעדות את שם המשתמש המוגדר כברירת מחדל '123456' ואת הסיסמה '123456'. כניסה עם אישורים אלו העניקה גישה מיידית, לא רק לסביבת בדיקה אלא גם ללוחות מחוונים ניהוליים אמיתיים ופעילים. לדברי קרול: "למרות שהאפליקציה מנסה לכפות כניסה יחידה (SSO) עבור מקדונלד'ס, קיים קישור נוסף עבור 'חברי צוות Paradox' שתפס את עינינו. בלי מחשבה רבה, הזנו '123456' כסיסמה והופתענו לראות שהתחברנו מיד!"
לאחר שנכנסו לפלטפורמת McHire , גילו החוקרים בנוסף נקודת קצה פנימית של API המשתמשת בפרמטר צפוי כדי לאחזר נתוני מועמדים. על ידי הפחתת ערך ה- ID, אחזרו קרול וקארי את כל פרטי הזיהוי האישיים של המועמדים, כולל תמלילי צ'אט, פרטי קשר ונתוני טפסי עבודה. ניצול IDOR זה חשף לא רק פרטי קשר אלא גם חותמות זמן, העדפות משמרות, תוצאות מבחני אישיות ואפילו אסימונים שיכולים להתחזות למועמדים ב- McHire. "תקרית זו היא דוגמה מצוינת למה שקורה כאשר ארגונים פורסים טכנולוגיה ללא הבנה כיצד היא פועלת או כיצד ניתן להפעיל אותה על ידי משתמשים בלתי מהימנים", אמר מנכ"ל Desired Effect – אוון דורנבוש והדגיש: "עם מערכות בינה מלאכותית המטפלות במיליוני נקודות נתונים רגישות, חייבים ארגונים להשקיע בהבנה ובמיתון איומי אבטחת מידע לפי הופעתם, אחרת הם ימצאו את עצמם מגשרים על פערים, כאשר אמון הלקוחות שלהם נמצא בסיכון."
לדברי רנדולף בר – מנהל אבטחת מידע ראשי בחברת Cequence Security: "למרות שאין עדיין אינדיקציה לכך שהנתונים נוצלו בזדון, היקף החשיפה ורגישותה עלולים להניע מתקפות דיוג ממוקדות, סמישינג / וישינג ואפילו הנדסה חברתית. בשילוב עם כלי בינה מלאכותית, יכולים פושעי סייבר ליצור איומי סייבר מותאמים אישית ומשכנעים להפליא."
יש לציין כי כשלים באבטחת סייבר הופכים נפוצים יותר ויותר בסביבות גיוס, ככל הנראה עקב התמקדות במהירות, אוטומציה וקנה מידה על חשבון אבטחת מידע. בשבוע שעבר התגלה דלף מידע מפלטפורמת מעקב המועמדים המקוונת TalentHook – דלף מידע של כ- 26 מיליון קבצי מידע אישי רגיש דרך מיכל אחסון Azure Blob שהוגדר בתצורה שגויה. קובי ניסן – מייסד שותף ומנכ"ל MineOS, הדגיש את הצורך לשלב זרימות עבודה של גיוס במערכות אבטחת הסייבר המרכזיות ואמר: "כל מערכת בינה מלאכותית האוספת או מעבדת נתונים אישיים חייבת להיות כפופה לאותן בקרות פרטיות, אבטחה וגישה כמו מערכות עסקיות מרכזיות. משמעות הדבר היא אימות, ביקורת ושילוב בזרימות עבודה רחבות יותר של סיכונים."
