弱密码暴露AI招聘机器人制造商Parado.ai的安全隐患

安全研究人员发现Paradox.ai因使用弱密码"123456"导致麦当劳等企业的招聘数据泄露,暴露数百万求职者个人信息。事件揭示企业内部安全管理和密码策略的严重漏洞。

弱密码暴露AI招聘机器人制造商Paradox.ai的安全隐患

安全研究人员近期披露,麦当劳数百万求职者的个人信息因快餐连锁店在Paradox.ai的账户使用弱密码(“123456”)而遭泄露。Paradox.ai是一家为多家财富500强公司提供基于人工智能的招聘聊天机器人的企业。Paradox.ai称此次安全疏忽是孤立事件,未影响其他客户,但近期涉及其越南员工的安全漏洞事件却揭示了更复杂的情况。

本月早些时候,安全研究人员Ian Carroll和Sam Curry撰文介绍了他们在McHire.com(麦当劳许多特许经营商用于筛选求职者的网站)上发现的访问AI聊天机器人平台后端的简单方法。据Wired首次报道,研究人员发现Paradox使用的弱密码暴露了6400万条记录,包括申请人的姓名、电子邮件地址和电话号码。

Paradox.ai承认了研究人员的发现,但表示公司的其他客户实例未受影响,且未暴露敏感信息(如社会安全号码)。该公司在7月9日的博客文章中写道:“根据我们的记录,我们确信除安全研究人员外,没有任何第三方访问过此测试账户。该账户自2019年以来未被登录过,坦率地说,本应已停用。我们想非常明确地表示,虽然研究人员可能短暂访问了包含所有聊天交互(非求职申请)的系统,但他们仅查看并下载了总共五条包含候选人信息的聊天记录。再次强调,没有任何数据在线泄露或公开。”

然而,对多个漏洞跟踪服务收集的被盗密码数据的审查显示,2025年6月底,Paradox.ai在越南的一名管理员设备遭受恶意软件感染,窃取了多种内部和第三方在线服务的用户名和密码。结果并不乐观。

Paradox.ai开发人员的密码数据被一种名为"Nexus Stealer"的恶意软件窃取,这是一种在网络犯罪论坛上出售的表单抓取器和密码窃取器。像Nexus这样的窃取器获取的信息通常被数据泄露聚合服务(如Intelligence X)恢复和索引。据报告,Paradox.ai开发人员设备上的恶意软件暴露了数百个大多为弱密码和重复使用的密码(使用相同的基础密码,但末尾字符略有不同)。

这些被盗凭证显示,相关开发人员曾使用相同的七位密码登录Paradox.ai为多家财富500强公司(包括Aramark、Lockheed Martin、Lowes和Pepsi)的账户。

七字符密码,特别是完全由数字组成的密码,极易受到"暴力"攻击,这种攻击可以快速连续尝试大量可能的密码组合。根据Hive Systems维护的一份广泛引用的密码强度指南,现代密码破解系统可以或多或少即时破解七位数字密码。

针对KrebsOnSecurity的提问,Paradox.ai确认密码数据最近因一名长期在越南的Paradox开发人员的个人设备感染恶意软件而被盗,并表示公司在事件发生后不久就意识到了这一漏洞。Paradox坚持认为,暴露的密码中很少仍有效,且其中大多数仅因该员工将密码管理器的内容从旧计算机迁移而存在于其个人设备上。

Paradox还指出,自2020年以来,公司一直要求单点登录(SSO)认证,强制合作伙伴使用多因素认证。然而,对暴露密码的审查显示,它们包括越南管理员对公司SSO平台(paradoxai.okta.com)的凭证。该账户的密码以202506结尾——可能指2025年6月——使用这些凭证成功登录Okta后留下的数字cookie显示其有效期至2025年12月。

同样暴露的还有管理员对Atlassian(一个用于软件开发和项目的平台)账户的凭证和认证cookie。该认证令牌的有效期同样为2025年12月。

信息窃取器感染是当今数据泄露和勒索软件攻击的主要原因之一,导致存储的密码和受害者在浏览器中键入的任何凭证被盗。大多数信息窃取器恶意软件还会窃取存储在受害者设备上的认证cookie,根据这些令牌的配置方式,窃贼可能能够使用它们绕过登录提示和/或多因素认证。

这些信息窃取器感染通常会在受害者设备上打开后门,允许攻击者远程访问受感染的机器。事实上,最近似乎有人出售对Paradox管理员受感染设备的远程访问权限。

2019年2月,Paradox.ai宣布已成功完成两项相当全面的安全标准(ISO 27001和SOC 2 Type II)的审计。与此同时,公司本月的安全披露称,使用糟糕的123456用户名和密码的测试账户上次访问是在2019年,但不知何故在每年的渗透测试中被遗漏。那么,在这些做法存在的情况下,它是如何通过如此严格的安全审计的呢?

Paradox.ai告诉KrebsOnSecurity,在2019年审计时,公司的各种承包商并未遵守公司内部实行的相同安全标准。Paradox强调这一点已经改变,并且自那时起已多次更新其安全和密码要求。

目前尚不清楚Paradox在越南的开发人员是如何感染恶意软件的,但更仔细的审查发现,另一名来自越南的Paradox.ai员工的Windows设备在2024年底被类似的数据窃取恶意软件入侵(该漏洞包括受害者的GitHub凭证)。在这两名员工的案例中,被盗的凭证数据包括网络浏览器日志,表明受害者反复下载盗版电影和电视节目,这些内容通常与伪装成观看盗版内容所需视频编解码器的恶意软件捆绑在一起。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次