AI รับสมัครงานของร้าน McDonald’s ต่างประเทศมีช่องโหว่ ข้อมูลผู้สมัครกว่า 64 ล้านราย เสี่ยงรั่ว!
บริษัท McDonald’s ต้องเจอเรื่องสะเทือนวงการหลังจากที่ระบบแชตบอท AI ชื่อ “Olivia” ซึ่งใช้ช่วยคัดเลือกผู้สมัครงานผ่านเว็บไซต์ McHire.com ถูกนักวิจัยด้านความปลอดภัยไซเบอร์เจาะเข้าถึงข้อมูลผู้สมัครได้ง่ายดายเพียงแค่ใช้รหัสผ่านที่ง่ายที่สุดในโลก “123456” ซึ่งเป็นรหัสผ่านของบัญชีผู้ดูแลระบบ ทำให้สามารถเข้าถึงข้อมูลส่วนตัวของผู้สมัครงานกว่า 64 ล้านรายการ
เหตุการณ์นี้ถูกเปิดเผยโดย Ian Carroll และ Sam Curry นักวิจัยความปลอดภัยที่เข้าไปตรวจสอบระบบ AI ของ Paradox.ai ผู้พัฒนาระบบ “Olivia” ที่ McDonald’s ใช้ ค้นพบว่าระบบไม่มีมาตรการยืนยันตัวตนแบบหลายชั้น (Multi-Factor Authentication) รวมถึงรหัสผ่านของบัญชีผู้ดูแลถูกตั้งอย่างง่ายดายและไม่ได้รับการเปลี่ยนแปลงเป็นเวลานาน ทำให้เป็นช่องทางที่แฮกเกอร์สามารถเข้าสู่ระบบได้อย่างรวดเร็ว
นอกจากการใช้รหัสผ่านที่ง่ายเกินไปแล้ว ระบบยังมีข้อผิดพลาดที่เปิดโอกาสให้เข้าถึงข้อมูลของผู้สมัครคนอื่นๆ ได้โดยการเปลี่ยนหมายเลข ID ผู้สมัครที่เก็บไว้ในฐานข้อมูล นักวิจัยทดสอบโดยสุ่มดูข้อมูลผู้สมัครงานจำนวนหนึ่ง พบว่ามีข้อมูลจริง ทั้งชื่อ อีเมล และเบอร์โทรศัพท์ ที่อยู่ในไฟล์ข้อมูลที่เข้าถึงได้
ทั้ง Paradox.ai และ McDonald’s ได้ออกมารับผิดชอบและเร่งแก้ไขปัญหานี้ทันที โดย Paradox.ai เริ่มการอัปเดตระบบเพื่อปิดช่องโหว่และเตรียมเปิดโปรแกรม bug bounty เพื่อเชิญชวนให้ผู้เชี่ยวชาญช่วยทดสอบระบบความปลอดภัย ส่วน McDonald’s ยืนยันว่าข้อมูลไม่ได้ถูกนำไปใช้ในทางที่ผิด และจะเพิ่มความเข้มงวดในการรักษาความปลอดภัยข้อมูลของผู้สมัคร
เหตุการณ์นี้สะท้อนให้เห็นว่าการใช้ระบบ AI ในกระบวนการสมัครงาน แม้จะช่วยให้เกิดความรวดเร็วและสะดวก แต่ก็ต้องมากับมาตรการความปลอดภัยข้อมูลที่เข้มงวดอย่างแท้จริง เพื่อป้องกันไม่ให้ข้อมูลส่วนตัวของประชาชนรั่วไหลหรือถูกแอบอ้างไปใช้ในทางที่ผิด
สำหรับประเทศไทย ยังไม่มีรายงานว่าระบบ “Olivia” แชตบอท AI ตัวนี้ถูกนำมาใช้ในกระบวนการสมัครงานของ McDonald’s หรือองค์กรอื่นๆ แต่เหตุการณ์นี้ถือเป็นบทเรียนสำคัญให้ทั้งภาครัฐและภาคธุรกิจไทย ให้ความสำคัญกับการบริหารจัดการความปลอดภัยไซเบอร์สำหรับระบบที่ใช้ AI และเก็บข้อมูลส่วนบุคคลในระดับสูงอย่างเคร่งครัด