В системе подбора персонала McDonald’s нашли критическую уязвимость — и всё из-за пароля «123456». Два исследователя в области ИБ, Иэн Кэрролл и Сэм Карри, всего за полчаса получили админ-доступ к платформе McHire[.]com, где чат-бот по имени Olivia проводит первичный отбор соискателей. Проблема оказалась в том, что один из аккаунтов имел смехотворно слабый пароль, с которым исследователи получили доступ ко всей базе: имена, телефоны, почта и даже полные переписки с ботом — примерно 64 миллиона записей. Более того, уязвимость позволяла просто менять ID в адресной строке и просматривать чужие анкеты. Все данные были реальными, и любая попытка наугад открывала информацию настоящих людей.

Компания-разработчик Paradox.ai признала утечку и в блоге пообещала усилить защиту.

ИИ-рекрутер McDonald’s слил 64 млн анкет — пароль был «123456»
https://www.anti-malware.ru/news/2025-07-10-111332/46615

Оригинал новости
McDonald’s AI Hiring Bot Exposed Millions of Applicants’ Data to Hackers Who Tried the Password ‘123456’
https://www.wired.com/story/mcdonalds-ai-hiring-chat-bot-paradoxai/

Пост на сайте Paradox.ai
Responsible Security Update
https://www.paradox.ai/white-hat-security-researcher

#itsec #suckassstory

По мотивам этого поста, запилил бота @ScratchAuthorEgoBot, который умеет почесывать эго авторам телеграм-каналов.

На вход - название канала, на выходе - один из трех видов LLM-based анализа автора (личный/профессиональный/насмешка) по его поста.

Под капотом Rust/Gemini/Neon, и даже прикрутил микроплатежи ⭐️ (первый запрос бесплатно). Больше всего провозился с экранированием и форматированием, потому что telegram API и его markdown довольно особенные.

Через недельку выложу исходники и расскажу, сколько звезд намайнил!

📊 Channel Analysis Results by @ScratchAuthorEgoBot

🎯 Channel: @dereference_pointer_there

🔥 Roast Analysis:

С днём рождения тебя, кстати, было? Или ты уже запутался, какой сейчас год в твоём edition 2024? Тебе 27, пора в клуб... задротов D&D, чтобы в очередной раз рассказать всем о своей пати из горничной-вампирши, лолиты-любовницы и киборга в бондаже. Серьезно, кто пишет такие сценарии? А, точно, ты. Наверное, это единственный способ для тебя увидеть женщин, которые не являются unsafe-блоком в твоём коде.

Твой канал — это памятник человеку, который открыл для себя Rust и решил, что все остальные должны об этом знать. Каждый день. С подробными отчётами. "Вышла версия 1.88.0! Стабилизировали let chains!" — чувак, твои подписчики уже давно в цепях отчаяния, просто отпишись от rust-lang/rust и иди потрогай траву. Ой, ты же её трогал, но в рамках ролёвки про хиккана и его мейд. Это не считается.

Ты настолько программист, что даже свои эмоции тегируешь: #suckassstory, #psy?. Скоро начнешь вместо "я тебя люблю" говорить impl Love for You. Твоя главная социальная активность — спросить у "папищеков", какой markdown-редактор выбрать, потому что, видите ли, Punto Switcher мешает ему писать код на языках с декрементом! Это самый душный крик о помощи, который я когда-либо видел. Ты превратил прокрастинацию в искусство, анализируя статьи о том, как ускорить компилятор на 1%, вместо того чтобы просто работать.

Твоя жизненная философия — это if let Some(meme) = find_meme() { post(meme) } else { post_about_rust_internals() }. Ты — ходячий r/rustjerk, только в реальной жизни. Ты готов написать эссе на три тысячи символов о том, почему Go — отстой, но на вопрос "чем отличаются мужские носки от женских" впадаешь в ступор. Наверное, потому что для тебя существует только один гендер — T: Trait. И да, мы все знаем, что ты мечтаешь о фембое-программисте на Rust, который будет делать тебе декоративный маникюр. Хватит намекать, скажи уже прямо. А теперь иди и напиши очередной пост о том, как важна memory safety, пока твоя социальная жизнь утекает, как память в C-программе.

>_>

@tech_b0lt_Genona тоже прожарку для своего канала сделал, а в комментариях там такое:

#psy

Вы слышали про Стэнфордский тюремный эксперимент? Так вот, к тому, что вообще этот эксперимент доказывает и насколько методически чисто он был проведён есть вопросы: https://t.iss.one/socialpsychPhD/31

#math #meme

(thanks @furthunivers)

#meme про то, как мужчины понимают намёки (подозрительно похоже на меня)

@git_rebase прислано @aboutblank69 / send memes

Когда мессенджер Min?

Телефон решил разрядиться, не забэкапив сообщение, поэтому пишу во второй раз, бесит.

Короче. Я знаю, что здесь много айтишников и айтишниц.

Avengers, assemble.

Если кто может порекомендовать/пореферить/предложить/хотя бы закинуть вариантов по трудоустройству, я буду несказанно рада.

Я Middle/Junior разработчица, ~3 года опыта, из которых 2 официально в белую в крупных компаниях и проектах (Яндекс, GlowByte на проектах Сбера и Росбанка)

Умею в:

- Бэкенд разработку на Python, Java/Kotlin
- Довольно хорошая экспертиза по базам данных (Postgresql, Oracle, GreenPlum) и прилагающихся к ним штук типа Informatica PowerCenter, Apache Airflow и всяких линуксов.
- Определенный опыт в скриптах автоматизации на Python, ML и вообще Data Science
- Имею опыт с микроконтроллерами типа Arduino/ESP и всякий микроэлектроникой для IoT
- Работала с научкой, написанием статей и прочим подобным

- Вагон менталок, но 0 вопросов по хард-скиллам, даже на почти-уже-бывшей работе.
В какой-то степени стеклянная пушка, которая щелкает сложные задачи с максимум неизвестных на неизученных ранее технологиях и под дедлайн может круглосуточно вкалывать, но разваливается на осколки на фоне ужасного психического состояния в случае монотонной работы, требующей непрерывного внимания — коим и было сопровождение проекта, которым я занималась...


В общем, если у кого есть идеи и желание помочь — приветствую, в том числе возможно будущих коллег, в лс:
@n4tune8jane

И... спасибо вам всем. Вы чудесные.