McDonald’s के AI टूल में बड़ी सुरक्षा चूक, 6.40 करोड़ जॉब एप्लिकेंट्स का डेटा लीक होने का खतरा

McDonald’s के AI टूल McHire में ‘123456’ पासवर्ड की वजह से 6.4 करोड़ जॉब एप्लिकेंट्स का डाटा खतरे में पड़ गया।

Data Leak: McDonald’s जैसी वैश्विक फास्ट-फूड चेन पर तब सवाल उठ गए जब उसके AI आधारित रिक्रूटमेंट प्लेटफॉर्म McHire में एक चौंकाने वाला सुरक्षा दोष पाया गया। यह खामी इतनी गंभीर थी कि इससे करीब 6.40 करोड़ जॉब एप्लिकेंट्स का डाटा एक्सपोज हो सकता था। सबसे हैरान करने वाली बात यह है कि इस सिस्टम पर बेहद सामान्य पासवर्ड ‘123456’ सेट किया गया था, जो साइबर सुरक्षा के किसी भी मानक के लिहाज से गंभीर लापरवाही मानी जाती है।

सिक्योरिटी रिसर्चर्स ने खोली पोल

इस सुरक्षा चूक का खुलासा साइबर सिक्योरिटी रिसर्चर्स इयान कैरोल और सैम करी ने किया। उन्होंने McHire के एडमिन इंटरफेस में एक 'Paradox team members' नाम का लॉगिन ऑप्शन पाया। उन्होंने उत्सुकता से डिफॉल्ट यूज़रनेम और पासवर्ड ‘123456’ आजमाया और तुरंत ही सिस्टम के टेस्ट ही नहीं, बल्कि रियल एडमिन डैशबोर्ड तक पहुंच बना ली।

कैंडिडेट्स का डाटा एक क्लिक दूर

McHire में ‘Olivia’ नाम की एक AI चैटबॉट का उपयोग किया जाता है, जो कैंडिडेट्स के साथ इंटरव्यू और स्क्रीनिंग में सहायता करती है। लेकिन इस बग के कारण रिसर्चर्स को लाखों एप्लिकेंट्स की पर्सनल जानकारी जैसे —

• पूरा नाम
• ईमेल आईडी
• फोन नंबर
• जॉब आवेदन की स्थिति
• चैट हिस्ट्री

जैसी संवेदनशील जानकारियां तक पहुंचने का रास्ता मिल गया।

API की खामी ने बढ़ाया खतरा

रिसर्चर्स को McHire के इंटरनल सिस्टम में एक ऐसा API एंडपॉइंट मिला जिसमें सिर्फ एक प्रीडिक्टेबल पैरामीटर डालने से किसी भी उम्मीदवार की जानकारी निकाली जा सकती थी। इतना ही नहीं, कुछ एक्सेस टोकन भी सिस्टम में मौजूद थे, जिनकी मदद से कोई भी व्यक्ति खुद को किसी एप्लिकेंट के रूप में पेश कर सकता था। यह एक बेहद गंभीर मामला था, क्योंकि इससे न केवल डाटा चोरी संभव थी, बल्कि डाटा से छेड़छाड़ और फर्जीवाड़े की आशंका भी थी।

McDonald’s और Paradox.ai की त्वरित प्रतिक्रिया

जैसे ही यह रिपोर्ट 30 जून को सामने आई, McDonald’s और उसके टेक्नोलॉजी पार्टनर Paradox.ai ने त्वरित कार्रवाई करते हुए 1 जुलाई तक सभी डिफॉल्ट लॉगिन क्रेडेंशियल्स को निष्क्रिय कर दिया। साथ ही, संबंधित API को भी बंद कर सुरक्षा के लिए आवश्यक कदम उठाए गए। Paradox ने यह स्पष्ट किया कि यह एक्सेस केवल रिसर्चर्स द्वारा किया गया था और किसी भी एप्लिकेंट का डाटा पब्लिक डोमेन में लीक नहीं हुआ है। हालांकि, इस बात से इनकार नहीं किया जा सकता कि यदि रिसर्चर्स की जगह कोई साइबर अपराधी इस चूक को भांप लेता, तो इसका दुरुपयोग बड़े पैमाने पर हो सकता था।

इतनी बड़ी कंपनी से इतनी बड़ी चूक?

McDonald’s जैसी बहुराष्ट्रीय कंपनी से इस तरह की लापरवाही की उम्मीद नहीं की जाती। एक ऐसे प्लेटफॉर्म पर, जहां लाखों लोग अपनी निजी जानकारी साझा कर रहे हैं, वहां पर इतना सामान्य पासवर्ड और सुरक्षा के बुनियादी नियमों की अनदेखी गंभीर चिंता का विषय है। यह घटना न केवल McDonald’s की छवि को प्रभावित कर सकती है, बल्कि यह साइबर सिक्योरिटी इंडस्ट्री के लिए भी एक चेतावनी है कि चाहे सिस्टम कितना भी हाई-टेक हो, बुनियादी सुरक्षा उपायों की अनदेखी घातक हो सकती है।

AI और सिक्योरिटी: दोहरी जिम्मेदारी की जरूरत

AI आधारित टूल्स जैसे McHire का उपयोग तेजी से बढ़ रहा है। ये सिस्टम ऑटोमेशन, तेज़ स्क्रीनिंग और बेहतर कैंडिडेट एक्सपीरियंस के लिए बनाए गए हैं। लेकिन जब इन्हें सही तरीके से सुरक्षित नहीं किया जाता, तो ये लाखों यूज़र्स की जानकारी को खतरे में डाल सकते हैं। AI को सिर्फ स्मार्ट नहीं, सुरक्षित भी बनाना होगा। कंपनियों को चाहिए कि वे अपने प्लेटफॉर्म्स में डिफेंस इन डेप्थ जैसी सुरक्षा रणनीतियों को अपनाएं, मल्टी-फैक्टर ऑथेंटिकेशन लागू करें और डिफॉल्ट पासवर्ड्स को बंद करें।