弱密码暴露AI招聘机器人制造商Paradox.ai的安全漏洞

安全研究人员发现Paradox.ai因使用弱密码"123456"导致麦当劳等财富500强企业的求职者数据泄露,暴露6400万条记录,包括姓名、邮箱和电话,揭示其安全实践存在严重问题。

弱密码暴露AI招聘机器人制造商Paradox.ai的安全漏洞

安全研究人员近期揭露,麦当劳数百万求职者的个人信息因Paradox.ai(一家为众多财富500强企业提供基于人工智能的招聘聊天机器人的公司)使用的弱密码(“123456”)而遭到泄露。Paradox.ai声称此次安全疏忽是孤立事件,未影响其他客户,但最近涉及其越南员工的安全事件揭示了更复杂的情况。

本月早些时候,安全研究人员Ian Carroll和Sam Curry撰文介绍了他们发现的访问McHire.com(麦当劳许多特许经营商用于筛选求职者的网站)上AI聊天机器人平台后端的简单方法。据Wired首次报道,研究人员发现Paradox使用的弱密码暴露了6400万条记录,包括求职者的姓名、邮箱地址和电话号码。

Paradox.ai承认了研究人员的发现,但表示公司的其他客户实例未受影响,且未暴露敏感信息(如社会安全号码)。该公司在7月9日的博客文章中写道:“根据我们的记录,我们确信除安全研究人员外,没有任何第三方访问过此测试账户。该账户自2019年以来未被登录,坦率地说,本应已停用。我们想明确表示,虽然研究人员可能短暂访问了包含所有聊天交互(非求职申请)的系统,但他们仅查看并下载了总共五条包含候选人信息的聊天记录。再次强调,没有任何数据在线泄露或公开。”

然而,对多个漏洞跟踪服务收集的被盗密码数据的审查显示,2025年6月底,Paradox.ai在越南的一名管理员设备遭受恶意软件感染,窃取了多种内部和第三方在线服务的用户名和密码。结果并不乐观。

Paradox.ai开发者的密码数据被名为“Nexus Stealer”的恶意软件窃取,这是一种在网络犯罪论坛上出售的表单抓取器和密码窃取器。像Nexus这样的窃取器获取的信息通常被数据泄露聚合服务(如Intelligence X)恢复和索引,该服务报告称,Paradox.ai开发者设备上的恶意软件暴露了数百个大多为弱密码和重复使用的密码(使用相同的基础密码,但末尾字符略有不同)。

这些被盗凭证显示,相关开发者曾使用相同的七位密码登录Paradox.ai为多家财富500强企业(如Aramark、Lockheed Martin、Lowes和Pepsi)提供的账户。

七位密码,尤其是全数字组成的密码,极易受到“暴力”攻击,这种攻击可以快速尝试大量可能的密码组合。根据Hive Systems维护的广泛引用的密码强度指南,现代密码破解系统可以几乎即时破解七位数字密码。

针对KrebsOnSecurity的提问,Paradox.ai确认密码数据最近因一名长期在越南的Paradox开发者的个人设备感染恶意软件而被盗,并表示公司在事件发生后不久即知晓此漏洞。Paradox坚称,暴露的密码中很少仍有效,且大多数仅存在于员工个人设备上,因为他从旧计算机迁移了密码管理器的内容。

Paradox还指出,自2020年以来,公司一直要求单点登录(SSO)认证,强制合作伙伴使用多因素认证。然而,对暴露密码的审查显示,它们包括越南管理员对公司SSO平台(paradoxai.okta.com)的凭证。该账户的密码以202506结尾(可能指2025年6月),使用这些凭证成功登录Okta后留下的数字cookie显示其有效期至2025年12月。

同样暴露的还有管理员对Atlassian(一个用于软件开发和项目的平台)账户的凭证和认证cookie。该认证令牌的有效期同样为2025年12月。

信息窃取器感染是当今数据泄露和勒索软件攻击的主要原因之一,导致存储密码和受害者在浏览器中键入的任何凭证被盗。大多数信息窃取器恶意软件还会窃取存储在受害者设备上的认证cookie,根据这些令牌的配置方式,窃贼可能能够使用它们绕过登录提示和/或多因素认证。

这些信息窃取器感染通常会在受害者设备上打开后门,允许攻击者远程访问受感染的机器。事实上,最近似乎有出售对Paradox管理员受感染设备的远程访问。

2019年2月,Paradox.ai宣布成功完成两项相当全面的安全标准(ISO 27001和SOC 2 Type II)的审计。与此同时,公司本月的安全披露称,使用糟糕的123456用户名和密码的测试账户最后一次访问是在2019年,但不知何故在每年的渗透测试中被遗漏。那么,在这些实践存在的情况下,它是如何通过如此严格的安全审计的?

Paradox.ai告诉KrebsOnSecurity,在2019年审计时,公司的各种承包商未遵循公司内部实行的相同安全标准。Paradox强调这已改变,且自那时起多次更新了安全和密码要求。

目前尚不清楚Paradox在越南的开发者如何感染恶意软件,但更深入的审查发现,另一名来自越南的Paradox.ai员工的Windows设备在2024年底被类似的数据窃取恶意软件感染(该感染包括受害者的GitHub凭证)。在这两名员工的案例中,被盗凭证数据包括网络浏览器日志,显示受害者反复下载盗版电影和电视节目,这些内容通常捆绑有伪装成观看盗版内容所需视频编解码器的恶意软件。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次