Неловко конечно получилось:

AI-чат-бот McDonald’s по приёму на работу, разработанный компанией Paradox.ai, оказался уязвим из-за элементарной ошибки: доступ к административной учётке можно было получить, используя логин и пароль “123456”. Исследователи по безопасности смогли войти в систему и получить доступ к 64 миллионам анкет соискателей, включая имена, телефоны, email и чаты с ботом Olivia.

Слабая защита оставила личную информацию десятков миллионов соискателей McDonald’s уязвимой на платформе “McHire”, разработанной компанией Paradox.ai.

Энди Гринберг, Wired
9 июля 2025, 15:28

Если вы хотите устроиться на работу в McDonald’s сегодня, скорее всего, вам придётся пообщаться с Оливией. Оливия — это не человек, а ИИ-чат-бот, который проводит первичный отбор кандидатов, собирает их контактные данные и резюме, направляет их на тест на личностные качества и иногда буквально сводит с ума, многократно неправильно понимая простейшие вопросы.

До прошлой недели платформа, на которой работает этот чат-бот, разработанная ИИ-компанией Paradox.ai, имела поразительно примитивные уязвимости. В результате практически любой хакер мог получить доступ ко всем чатам, которые когда-либо вели соискатели с Оливией, включая всю переданную ими личную информацию. Всё, что требовалось — догадаться, что логин и пароль администратора были “123456”.

В среду исследователи в сфере кибербезопасности Ян Кэрролл и Сэм Карри сообщили, что нашли простейшие способы получить доступ к внутренней части платформы на сайте McHire.com — сайте McDonald’s, через который множество франчайзи обрабатывают заявки на работу. Кэрролл и Карри — независимые хакеры с солидным послужным списком — обнаружили, что веб-уязвимости (включая смешно слабый пароль) позволяли им войти в учётную запись Paradox.ai и делать запросы к базе данных, в которой хранились все чаты между пользователями McHire и Оливией. В базе могло находиться до 64 миллионов записей с именами, адресами электронной почты и номерами телефонов соискателей.

Кэрролл говорит, что узнал об этом вопиющем нарушении безопасности, когда заинтересовался решением McDonald’s использовать ИИ-чат-бота и тест на личность для отбора работников.

«Мне это показалось особенно дистопичным в сравнении с обычным процессом найма. Вот почему я решил покопаться в этом поглубже», — говорит он.
«Я начал оформлять заявку на работу, и уже через полчаса у нас был полный доступ практически ко всем заявкам, поданным в McDonald’s за последние годы».

Когда WIRED обратилась за комментарием к McDonald’s и Paradox.ai, представитель Paradox.ai прислал ссылку на готовящийся к публикации блог-пост, подтверждающий находки Кэрролла и Карри. Компания заявила, что лишь малая часть записей, к которым получили доступ исследователи, содержала личные данные, и подчеркнула, что упомянутая учётная запись администратора с паролем “123456” не была скомпрометирована никем, кроме исследователей. Также компания объявила о запуске программы поощрения за найденные баги (bug bounty).

«Мы серьёзно относимся к этому инциденту, даже несмотря на то, что он был оперативно устранён», — заявила главный юрисконсульт Paradox.ai Стефани Кинг. — «Мы берём на себя полную ответственность».

В своём заявлении для WIRED, McDonald’s также признал вину Paradox.ai:

«Мы разочарованы недопустимой уязвимостью, допущенной сторонним поставщиком — Paradox.ai. Как только мы узнали о проблеме, мы потребовали немедленного её устранения, и она была решена в тот же день», — говорится в заявлении.
«Мы серьёзно относимся к вопросам кибербезопасности и продолжим строго контролировать соответствие сторонних поставщиков нашим стандартам защиты данных».

Скриншот: Один из примеров фрагментов переписки между соискателем и «Оливией». Исследователи: Ян Кэрролл и Сэм Карри

Кэрролл говорит, что заинтересовался безопасностью сайта McHire после того, как увидел пост на Reddit, в котором жаловались на чат-бота, тратящего время соискателей на бессмысленные ответы. Он и Карри начали взаимодействовать с ботом, тестируя его на уязвимость к “инъекциям подсказок” (prompt injection) — технике, позволяющей обмануть большие языковые модели. Не найдя уязвимостей такого рода, они решили зарегистрироваться как франчайзи McDonald’s, чтобы получить доступ к внутренней части сайта, но наткнулись на любопытную ссылку для входа сотрудников Paradox.ai.

Ради интереса Кэрролл попробовал одни из самых популярных логинов и паролей: сначала “admin”, затем “123456” — и второй вариант сработал.

«Это встречается чаще, чем вы думаете», — говорит он. Судя по всему, двухфакторной аутентификации у этого входа не было.

С этими данными для входа Кэрролл и Карри получили админ-доступ к тестовому “ресторану” McDonald’s на платформе McHire и обнаружили, что все указанные там “сотрудники” были разработчиками Paradox.ai, скорее всего из Вьетнама. Они нашли ссылку на тестовые вакансии в этом несуществующем филиале McDonald’s, подали на одну из них заявку и увидели её на внутренней стороне платформы. (В своём блоге Paradox.ai отмечает, что эта тестовая учётная запись «не использовалась с 2019 года и давно должна была быть удалена».)

Тогда Кэрролл и Карри обнаружили вторую критическую уязвимость: начав изменять ID своей заявки (число выше 64 миллионов), они заметили, что можно просто уменьшать число и таким образом просматривать чужие анкеты и контактные данные.

Из соображений этики и страха нарушить закон, они просмотрели лишь ограниченное количество записей, но все, что они проверили, содержали реальные данные. (Paradox.ai утверждает, что исследователи просмотрели всего 7 записей, из которых 5 содержали личные данные.) Кэрролл и Карри передали WIRED выборку с именами, контактами и датами подачи заявок. WIRED связался с двумя соискателями по этим данным — оба подтвердили, что действительно подавали заявки в McDonald’s в указанные дни.

Хотя утечка не затронула наиболее чувствительные данные, Кэрролл и Карри подчеркивают, что риск для соискателей был выше из-за привязки данных к факту их попыток устроиться в McDonald’s.

«Если бы кто-то реально воспользовался этой уязвимостью, риск фишинга был бы огромным», — говорит Карри. — «Это не просто личные данные и резюме — это данные людей, ищущих работу в McDonald’s и ожидающих письма с ответом».

Злоумышленники могли бы, например, выдать себя за рекрутеров и запросить банковские реквизиты для якобы оформления прямого депозита.

«Если бы вы хотели провернуть мошенничество с зарплатой — это был бы отличный способ», — добавляет он.

Также, по их словам, само наличие (или отказ) от трудоустройства в McDonald’s могло бы быть источником стыда для некоторых людей. Однако Кэрролл подчёркивает, что не видит в этом ничего постыдного:

«Я с уважением отношусь к работникам McDonald’s. Я сам туда часто хожу».

https://www.wired.com/story/mcdonalds-ai-hiring-chat-bot-paradoxai/

Figma наконец-то завезла эффект Glass, теперь wysiwyg-дизайн приложений под 26ую систему больше не завязан на Sketch. Можно регулировать уровень рефракции, направление света, глубину стекла, матовость и дисперсию

А Эппл соответственно опубликовали свою библиотеку интерфейсных элементов:

https://www.figma.com/community/file/1527721578857867021/ios-and-ipados-26

Оззи Осборн ушел максимально красиво — отыграв монументальный концерт, со всеми попрощавшись и «окруженный любовью» приказал долго жить. Легенда, что уж тут сказать, покойся с миром!

Ого, вот это релизик: Blender наконец-то портируют на планшеты

Разработчики Blender анонсировали активную адаптацию программы для планшетов с поддержкой мультитач и стилуса, таких как Apple iPad Pro, Microsoft Surface и Wacom MovinkPad. Цель проекта — сделать Blender доступным на устройствах без клавиатуры и мыши, сохранив при этом всю мощность настольной версии.

Первой платформой для тестирования станет iPad Pro с Apple Pencil. Интерфейс будет переработан под сенсорное управление: уменьшенная плотность информации, всплывающие меню, поддержка жестов и кастомные шаблоны рабочего пространства. В приоритете — задачи скульптинга и быстрой работы с объектами.

Новые решения в UI/UX будут полезны и пользователям настольных ПК, особенно тем, кто работает с графическими планшетами.

Первый живой показ Blender на iPad состоится на SIGGRAPH 2025 в Ванкувере. После этого в Blender HQ в Амстердаме пройдёт воркшоп по доработке дизайна и рабочих процессов. Проект находится на ранней стадии, и команда приглашает разработчиков и дизайнеров присоединиться к работе.

(На видео: черновой прототип интерфейса)

https://code.blender.org/2025/07/beyond-mouse-keyboard/

Imagine a few years pass and there’s a whole generation of ipad birds screaming emojis

https://youtu.be/hCQCP-5g5bo

Опять коммуналка растёт:
Spotify поднимает цену Premium-подписки за пределами США

Spotify объявил о повышении стоимости Premium-подписки в ряде стран Европы, Южной Азии, Ближнего Востока, Африки, Латинской Америки и Азиатско-Тихоокеанского региона. Повышение составит примерно €1 в месяц — например, с €10,99 до €11,99, как указано в письме пользователям из одной из стран ЕС.

Хотя конкретные страны в заявлении не названы, уже известно о росте цен для новых пользователей в Испании, Италии и Португалии. В странах, где цены поднимались ранее (Франция, Бельгия, Люксембург, Нидерланды), новых повышений пока не зафиксировано.

Повышение цен произошло вскоре после публикации отчёта Spotify за квартал: несмотря на рост числа платных подписчиков, прогноз по прибыли оказался ниже ожиданий аналитиков, а акции упали на 11,5%, что привело к потере $16 млрд капитализации.

https://www.theverge.com/news/718038/spotify-premium-subnoscription-price-increase-outside-us

Мда, жестко

можно так вот немного докидывать мозгов

А тексты вам тоже GPT-5 пишет?

Ура

Это кстати видео из этой серии
https://www.youtube.com/watch?v=kt6Wne1szrg

Круто. Чуваки перенесли принцип работы объемной гравировки внутри стекла и томографии на фотополимеризацию смолы (текущие принтеры просто используют послойную экспозицию двухмерной матрицы)

http://youtu.be/L7QnADt04ZU