Штучний інтелект (ШІ) кардинально змінює різні сфери, зокрема кібербезпеку. Однак нещодавній витік даних, що стався у McDonald’s, в результаті якого була розкрита особиста інформація приблизно 64 мільйонів кандидатів на роботу, свідчить не стільки про невдачу технологій ШІ, скільки про порушення основного принципу кібербезпеки: ніколи не залишайте двері відчиненими.
Цей гігант фастфуду не став жертвою складного шкідливого програмного забезпечення чи експлуатації нульового дня. Натомість злочинці здобули доступ за допомогою простого методу вгадування. Чат-бот для найму McHire, що використовує ШІ, був налаштований з типовими даними для входу 123456/123456 для доступу до адміністративного інтерфейсу облікових записів ресторанів McHire. Жодної багатофакторної аутентифікації, жодного захисту від брутфорс-атак, нічого.
Розроблений компанією Paradox.ai та впроваджений у десятках тисяч ресторанів по всьому світу, McHire автоматизує більшість процесів найму, від збору заявок до проведення інтерв’ю через чат-бота на ім’я «Олівія». Цей чат-бот мав доступ до детальної особистої інформації шукачів роботи в десятках країн, і, тим не менш, виявилося, що для доступу до адміністративної панелі потрібно було лише ввести найпоширеніший пароль в історії цифрових технологій.
Цей інцидент не є прикладом елітної атаки, і саме це викликає тривогу. Він не включав у себе використання бекдорів, руткітів чи поліформного коду. Все, що потрібно було зробити, — це ввести «123456» у поле входу та внести одну невелику зміну в URL-адресу.
Сучасні кіберзагрози стають дедалі різноманітнішими та підступнішими, від вразливостей у хмарних середовищах до недоліків у сторонніх постачальниках. У новій цифровій реальності безпека периметра вже не пов’язана лише з брандмауерами чи антивірусним програмним забезпеченням. Це питання ідентифікації, інтеграції та аналітики.
Паролі роблять усе вразливим, оскільки ланцюги атак переходять від облікових даних до хаосу
Протягом десятиліть стратегії корпоративної кібербезпеки зосереджувалися на чітко визначеному периметрі: захистити те, що всередині, і утримати злочинців на відстані. Але поширення хмарних технологій, гібридна робота, сторонні інструменти та політики використання власних пристроїв (BYOD) розпорошили цей периметр у неузгоджену мережу розподілених точок доступу та непомітних векторів атаки.
Проте витік даних у McHire підкреслює неприємну правду сучасної кібербезпеки: незважаючи на те, що компанії інвестують у нові технології, багато хто все ще стає жертвою помилок минулого. У цьому випадку найбільшою помилкою, яку можна було уникнути — використання стандартного пароля — відкрило двері для зловмисників.
«Це стара добра порада, яку часто дають», — наголосив Белсасар Лепе, співзасновник і генеральний директор Cerby. «Зробіть активування багатофакторної аутентифікації простим для ваших користувачів. Дев’яносто дев’ять відсотків атак на ідентифікацію виникають через те, що багатофакторна аутентифікація просто не активована.»
Одним із флагманських продуктів Amazon, Amazon Web Services (AWS), минулого літа оголосив про намір запровадити обов’язкову багатофакторну аутентифікацію для деяких користувачів.
Проте частина проблеми полягає в тому, як такі технології, як McHire, впроваджуються. Франчайзингова система McDonald’s є високодецентралізованою. Індивідуальні власники ресторанів, а не корпоративна штаб-квартира, часто управляють технологічним стеком, що регулює процеси найму, планування та операцій. Ця структура створює можливості для несумісностей — і прогалин. Стороння платформа, така як McHire, може бути локально інтегрована, швидко налаштована та залишена практично без нагляду після запуску. Саме тому стандартні облікові дані залишаються в силі, і ніхто не помічає цього, поки дослідник випадково не натрапить на них.
McDonald’s не відразу відповів на запит щодо коментарів.
Розширення поверхні атаки відкриває можливості для експлуатації
Глибша проблема часто полягає в тому, як підприємства сприймають кібербезпеку, особливо коли йдеться про інструменти, які були впроваджені поза традиційним IT-наглядом. Інструменти на основі ШІ все більше використовуються командами бізнес-операцій: HR, маркетинг, логістика. Вони сприймаються як програми та послуги, швидкі у встановленні, легкі у використанні та рідко проходять перевірку. Поширена думка, що «хтось інший» дбає про безпеку, стала нормою.
Було повідомлено, що підприємства традиційно зосереджувались на внутрішніх заходах кібербезпеки, але нинішня взаємопов’язана цифрова екосистема вимагає більш цілісного підходу.
«У 2021 році було подано 400 позовів за витік даних», — сказав Філіп Янелла, співголова практики конфіденційності, безпеки та захисту даних у Blank Rome та автор книги «Кібернетичні позови: Витоки даних, конфіденційність даних та цифрові права», видання 2025 року. «Минулого року їх було понад 2000.»
«Витоки даних завжди є найбільшою небезпекою, особливо для фінансових установ. Ми пройдемо період, коли кількість витоків зросте — можливо, також і вартість їхньої ліквідації — поки компанії не зможуть зрозуміти, як з цим впоратися», — додав Янелла. «Якщо ви банк, вам потрібно дуже серйозно ставитися до своїх постачальників.»