McDonald’s потерял миллионы данных через ИИ. А виноват — пиратский фильм

Недавний инцидент с утечкой данных вскрыл уязвимость в системах компании Paradox.ai, разработчика чат-ботов на основе искусственного интеллекта, которые используются в процессе найма в McDonald’s и других корпорациях из списка Fortune 500. Причиной масштабной утечки стала банальная ошибка — слабейший из возможных паролей.

Всё началось с того, что специалисты по безопасности Ян Кэрролл и Сэм Карри получили доступ к бэкенду платформы McHire.com, использующей ИИ-бота «Olivia» от Paradox.ai для обработки заявок от соискателей. Как оказалось, тестовая учётная запись с паролем «123456» предоставила им возможность получить доступ к массиву данных объёмом 64 миллиона записей. Среди них были имена, номера телефонов и электронные адреса соискателей.

В компании признали, что это действительно был их тестовый аккаунт, который не использовался с 2019 года и должен был быть удалён. Paradox утверждает, что никто, кроме самих исследователей, не получал доступ к системе, а также, что ни одна из записей не попала в публичный доступ. При этом подчёркивается, что речь шла лишь о переписках с ботом, а не о самих заявках на работу.

Однако на этом неприятности не закончились. Независимый анализ утечек паролей показал, что в июне 2025 года устройство одного из вьетнамских сотрудников Paradox было заражено вредоносной программой Nexus Stealer. Этот тип зловреда известен тем, что крадёт пароли и данные авторизации, включая cookie-файлы и вводимые вручную логины. После заражения информация сотрудника оказалась в открытом доступе и была проиндексирована сервисами, отслеживающими утечки.

Среди украденных данных — сотни простейших и повторяющихся паролей, часто отличающихся лишь последними символами. Некоторые из них использовались для доступа к внутренним сервисам клиентов Paradox, включая Aramark, Lockheed Martin, Lowe’s и Pepsi. Один и тот же пароль, состоящий всего из семи цифр, применялся для входа в разные корпоративные системы. Такие пароли могут быть взломаны буквально за секунду с помощью современных средств перебора комбинаций.

Особую тревогу вызывает то, что в число скомпрометированных данных вошли логины к платформе единого входа paradoxai.okta.com, используемой Paradox с 2020 года и поддерживающей двухфакторную аутентификацию. Хотя компания утверждает, что большинство скомпрометированных паролей уже недействительны, среди них всё же оказались данные для доступа к Okta и Atlassian — сервису для управления проектами и разработки программного обеспечения. Оба токена авторизации имели срок действия до декабря 2025 года.

Утечка затронула не только логины, но и cookie-файлы, что потенциально позволяло обойти многофакторную аутентификацию. Более того, в некоторых случаях зловреды оставляют на устройствах бэкдоры, что позволяет удалённый доступ. Один из таких компьютеров, принадлежавший разработчику Paradox во Вьетнаме, позже оказался выставлен на продажу.

Paradox заявляет, что инцидент не влияет на другие аккаунты клиентов и что с момента аудита безопасности в 2019 году требования к подрядчикам были ужесточены. Однако возникает вопрос, каким образом аккаунт с паролем «123456» вообще прошёл аудит, ведь компания тогда отчиталась о соответствии стандартам ISO 27001 и SOC 2 Type II. В качестве объяснения Paradox ссылается на то, что в 2019 году внешние подрядчики не подчинялись тем же стандартам, что и внутренний персонал.

Также выяснилось, что другой сотрудник Paradox из Вьетнама был заражён похожим вредоносом в конце 2024 года. Среди украденных данных были его учётные записи на GitHub и истории браузера, из которой следует, что заражение могло произойти при скачивании пиратских фильмов — типичный способ распространения подобных вирусов, часто замаскированных под кодеки.

История демонстрирует, насколько хрупкой может быть защита даже у компаний, заявляющих о строгом соблюдении стандартов безопасности. Одна забытая тестовая учётная запись и один заражённый ноутбук стали причиной потенциального компрометирования данных множества корпораций.