糟糕的密码在 AI Hiring Bot Maker Paradox.ai 上喋喋不休

快速阅读: 《Krebs on Security （博客）》消息，安全研究人员发现麦当劳招聘系统因弱密码泄露6400万条信息。Paradox.ai称事件孤立，但越南员工设备遭恶意软件攻击，暴露多个公司账户。

安全研究人员最近披露，数百万申请麦当劳工作的人员的个人信息，在他们猜中了麦当劳这家快餐连锁店在Paradox.ai公司账户上的密码（“123456”）后被泄露。Paradox.ai是一家为多家财富500强公司提供基于人工智能的招聘聊天机器人的公司。Paradox.ai表示，这次安全疏漏是一个孤立事件，并未影响其其他客户，但最近涉及其越南员工的安全事件则揭示了一个更复杂的局面。

一张显示Paradox.ai主页的截图，展示其AI招聘聊天机器人“Olivia”与潜在求职者进行互动。本月早些时候，安全研究人员伊恩·卡罗尔和萨姆·卡里发表了一篇关于他们发现的简单方法的文章，这些方法可以访问McHire.com上AI聊天机器人平台的后台，该网站是麦当劳的官方网站，许多特许经营商使用它来筛选求职者。

据《Wired》首次报道，研究人员发现Paradox使用的弱密码导致6400万条记录泄露，包括申请人的姓名、电子邮件地址和电话号码。Paradox.ai承认研究人员的发现，但表示公司的其他客户实例并未受到影响，并且没有敏感信息（如社会保障号码）被泄露。

“基于我们的记录，我们确信这个测试账户仅被安全研究人员访问过。”该公司在7月9日的一篇博客文章中写道。“自2019年以来，该账户从未被登录过，说实话，本应已被停用。我们想非常明确地指出，尽管研究人员可能短暂地访问了包含所有聊天交互的系统（不是工作申请），但他们总共只查看并下载了五次带有候选人信息的聊天记录。再次强调，没有任何数据被泄露到网上或公开。”

然而，多个数据泄露追踪服务收集的被盗密码数据显示，2025年6月底，一名越南的Paradox.ai管理员设备遭受了恶意软件攻击，导致各种内部和第三方在线服务的用户名和密码被盗。结果令人担忧。

由名为“Nexus Stealer”的恶意软件窃取的Paradox.ai开发者的密码数据是一种形式抓取器和密码窃取工具，它在网络犯罪论坛上出售。像Nexus这样的窃取工具窃取的信息通常会被数据泄露聚合服务如Intelligence X回收并索引，该服务报告称，该恶意软件在Paradox.ai开发者的设备上暴露了数百个主要是低质量且重复的密码（使用相同的主密码，但结尾字符略有变化）。这些被盗的凭证显示，这位开发者曾一度使用相同的七位数字密码登录Paradox.ai账户，用于该公司网站上列出的多家财富500强客户，包括Aramark、洛克希德·马丁、劳氏和百事。

七位数字密码，尤其是纯数字密码，极易受到“暴力破解”攻击，这种攻击可以快速尝试大量可能的密码组合。根据Hive Systems维护的一份广受引用的密码强度指南，现代密码破解系统几乎能在瞬间破解一个七位数字密码。

在接受KrebsOnSecurity采访时表示，Paradox.ai确认，密码数据最近因越南一名长期开发人员的个人设备感染恶意软件而被盗，并表示公司在事件发生后不久就意识到了这一漏洞。Paradox表示，大部分暴露的密码已失效，而且大部分密码仅存在于员工的个人设备上，是因为他将旧电脑中的密码管理器内容迁移过来。Paradox还指出，自2020年起，它就要求合作伙伴使用单点登录（SSO）认证，并强制实施多因素认证。

然而，审查暴露的密码显示，它们包括越南管理员的公司SSO平台（paradoxai.okta.com）的凭据。该账户的密码以202506结尾——可能与2025年6月有关——成功使用这些凭据登录Okta后留下的数字Cookie显示，该凭证的有效期至2025年12月。此外，管理员的Atlassian账户凭据和认证Cookie也被曝光，Atlassian是一个用于软件开发和项目管理的平台。该认证令牌的到期日期同样为2025年12月。

信息窃取感染是当前数据泄露和勒索软件攻击的主要原因之一，它们会导致存储的密码和受害者在浏览器中输入的任何凭据被盗。大多数信息窃取恶意软件还会从受害者的设备中提取存储的认证Cookie，根据这些令牌的配置方式，窃贼可能能够利用它们绕过登录提示或多因素认证。这类信息窃取感染通常会在受害者的设备上留下一个后门，使攻击者能够远程访问被感染的机器。

事实上，似乎最近有人在出售对Paradox管理员被入侵设备的远程访问权限。2019年2月，Paradox.ai宣布其已通过两项相当全面的安全标准（ISO 27001和SOC 2 Type II）的审计。同时，该公司本月的安全披露表示，这个拥有糟糕用户名和密码（123456）的测试账户最后一次访问是在2019年，但不知为何在年度渗透测试中被遗漏了。那么，它是如何通过这些严格的安全审计的呢？

Paradox.ai告诉KrebsOnSecurity，2019年审计时，公司的各种承包商并未遵循公司内部实施的安全标准。Paradox强调，这种情况已有所改变，并且自那以后，公司已多次更新其安全和密码要求。

目前尚不清楚越南的Paradox开发人员是如何感染其计算机的，但进一步审查发现，另一名越南的Paradox.ai员工的Windows设备在2024年底也因类似的数据窃取恶意软件被入侵（该入侵包括受害者的GitHub凭证）。对于这两位员工来说，被盗的凭证数据包括网页浏览器日志，表明受害者反复下载盗版电影和电视剧，这些内容通常与伪装成视频编解码器的恶意软件捆绑在一起。

(以上内容均由Ai生成)