麦当劳AI招聘平台数据泄露事件 - 麦当劳特许经营商使用的AI招聘平台McHire存在重大安全漏洞 该平台采用Paradoxai开发的AI聊天机器人"Olivia"收集求职者敏感信息 包括姓名 电话 邮箱 住址等 [2] - 独立安全研究人员发现仅需使用简单用户名和密码组合如"123456"即可登录管理员界面 可能访问约6400万份招聘记录 还能获取身份验证令牌和原始聊天记录 [2][3] - 漏洞于2025年6月30日被发现 研究人员通过修改API中的申请人ID值查看了多年积累的申请数据 该漏洞未启用双重身份验证 [3] 泄露数据详情 - 公开可访问的数据包括姓名 电子邮件 电话号码 IP地址及部分家庭住址 以及聊天历史记录 性格测试回答和简历详情 [4] - 暴露数据不涉及财务数据或社会安全号码 但仍可能造成严重的网络钓鱼风险 [4] - Paradoxai声称仅五名应聘者信息被查看 且仅由安全研究人员访问 强调数据未在线上泄露或公开 [8] 事件处理与响应 - 研究人员于2025年6月30日联系Paradoxai和麦当劳 麦当劳当日即禁用默认管理凭证 Paradoxai在7月1日前完全解决漏洞 [5] - 麦当劳将漏洞归咎于第三方供应商Paradoxai 表示对"不可接受的漏洞"感到失望 并要求立即修复 [5] - Paradoxai启动漏洞赏金计划以发现未来安全弱点 并称事件仅影响麦当劳一家机构 未波及其他客户 [5][8] 行业专家评论 - 全球数据隐私管理公司MineOS CEO指出事件警示企业仓促部署面向客户的AI工作流存在风险 [8] - 强调问题不在于AI技术本身 而是缺乏基本安全防护与治理机制 [8] - 建议任何处理个人数据的AI系统都应遵循与企业核心业务系统相同的隐私保护和安全标准 [8]