Штучний інтелект (ШІ) змінює багато аспектів, зокрема й кібербезпеку. Проте нещодавня витік інформації, що стався у McDonald’s, в результаті якого були розкриті дані приблизно 64 мільйонів кандидатів на роботу, виявився не наслідком зламу за допомогою складних технологій, а простим ігноруванням основного принципу кібербезпеки: не залишайте двері відкритими.
Відомий оператор фастфуда не постраждав від атаки високого рівня з використанням розробок шкідливого програмного забезпечення або вразливостей нульового дня. Злодії досягли успіху завдяки простій грі на здогадку. Чат-бот для найму McHire, оснащений штучним інтелектом, використовував стандартні облікові дані 123456/123456 для доступу до адміністративного інтерфейсу ресторанів McHire. Ніякої багатофакторної аутентифікації, захисту від brute-force атак — нічого.
Розроблений компанією Paradox.ai і впроваджений у тисячах ресторанів по всьому світу, McHire автоматизує більшість процесів найму, починаючи від збору заявок і закінчуючи проведенням інтерв’ю за допомогою чат-бота на ім’я “Олівія”. Чат-бот мав доступ до детальних персональних даних тих, хто шукає роботу в різних країнах, і все ж, доступ до його адміністративної панелі вимагав тільки найпростішого пароля в цифровій історії.
Ця атака не є елітною, і саме це робить ситуацію настільки тривожною. Вона не включала наявність бекдорів, руткітів чи поліформних кодів. Все, що було потрібно, — це ввести “123456” у вікні входу та трохи змінити URL.
Відкрите середовище хмари до вразливостей третіх сторін, сучасні кіберзагрози стають усе більш різноманітними та підступними. У новому цифровому середовищі захист вашого периметру вже не зводиться до використання брандмауерів чи антивірусного програмного забезпечення. Сьогодні важливіше враховувати ідентичність, інтеграцію та аналітику.
Паролі стають джерелом вразливостей, оскільки ланцюги атак переходять від облікових даних до хаосу
Десятиліттями стратегії корпоративної кібербезпеки зосереджувалися на чітко визначеному периметрі: захистити все всередині та не допустити зловмисників. Але через проведення хмари, гібридну роботу, використання сторонніх інструментів та політики “принеси свій пристрій” (BYOD) цей периметр перетворився на мозаїку з розподілених кінцевих точок і невидимих атак.
Попри це, витік інформації з McHire підкреслює неприємну правду про сучасну кібербезпеку: хоча компанії інвестують в новітні технології, багато з них все ще стають жертвами помилок минулого. У даному випадку найпростіша помилка — використання стандартного пароля — відкрила двері для зловмисників.
“Це давні та перевірені поради,” наголосив Бельсасар Лепе, співзасновник і CEO компанії Cerby. “Зробіть так, щоб багатофакторна аутентифікація була легкодоступною для ваших кінцевих користувачів. Дев’яносто дев’ять відсотків атак на ідентичність виникають через те, що MFA просто не активується.”
Однією з провідних продукцій Amazon, Amazon Web Services (AWS), минулого літа було оголошено, що вона починає робити MFA обов’язковою для деяких користувачів.
Проте частина проблеми полягає в тому, як такі технології, як McHire, впроваджуються. Система франшиз McDonald’s має високу ступінь децентралізації. Індивідуальні власники ресторанів, а не центральний офіс, зазвичай управляють технологічним стосом, що регулює найм, планування і операції. Ця структура створює можливості для невідповідностей та прогалин. Платформа третьої сторони, як-от McHire, може бути інтегрована на місцевому рівні, швидко налаштована та залишена в більшості випадків без змін після введення в експлуатацію. Так виникають стандартні облікові дані. Так ніхто не помічає, доки дослідник не натрапляє на них.
McDonald’s не відповіла на запит про коментар.
Розширення поверхні атаки створює план від експлуатації
Глибша проблема часто полягає в тому, як підприємства сприймають кібербезпеку, особливо коли йдеться про інструменти, які використовуються за межами традиційного IT-контролю. Інструменти з використанням ШІ все частіше впроваджуються командами, що займаються бізнесом: HR, маркетингом, логістикою. Вони розглядаються як програмне забезпечення як послуга, швидко встановлюються, легко використовуються та рідко підлягають перевірці. Поширене переконання, що “хтось інший” займається безпекою, є повсюдним.
Згідно з повідомленням, опублікованим у вересні, хоча бізнеси традиційно зосереджувалися на внутрішніх заходах безпеки, сьогоднішня взаємопов’язана цифрова екосистема вимагає більш глобального підходу.
“У 2021 році було подано 400 позовів про витік даних,” зазначив Філіп Янелла, співавтор практики захисту даних та кібербезпеки в Blank Rome, автор “Кіберлітерації: витік даних, конфіденційність даних та цифрові права” у виданні 2025 року. “У минулому році їх було вже понад 2000.”
“Витоки даних завжди є найбільшою загрозою, особливо для фінансових установ… Ми пройдемо період, коли будемо бачити більше витоків — ймовірно, більш затратних витоків — поки компанії не навчаться, як з ними боротись,” додав Янелла. “Якщо ви банк, вам потрібно думати про своїх постачальників.”