AI招聘机器人公司Paradox.ai因弱密码泄露数百万求职者数据

弱密码暴露AI招聘机器人制造商Paradox.ai的安全隐患

安全研究人员近期披露，麦当劳等《财富》500强企业使用的AI招聘聊天机器人供应商Paradox.ai因使用简单密码"123456"，导致数百万求职者个人信息泄露。尽管该公司称这只是孤立事件，但来自越南员工的更多安全事件揭示了更深层的问题。

6400万条记录暴露

本月初，安全研究人员Ian Carroll和Sam Curry发现通过简单方法就能访问McHire.com（麦当劳特许经营商使用的招聘网站）的AI聊天机器人后台。据《Wired》首次报道，Paradox使用的弱密码导致6400万条包含申请人姓名、邮箱和电话的记录暴露。

Paradox.ai在7月9日的博客中承认研究人员的发现，但声称其他客户实例未受影响，且未泄露社保号等敏感信息。公司表示："根据记录，我们确信除安全研究人员外没有第三方访问过这个测试账户。该账户自2019年以来就无人登录，本应被停用。"

越南开发者的密码灾难

然而，多家数据泄露追踪服务显示，2025年6月底，Paradox.ai一名越南管理员的设备感染了名为"Nexus Stealer"的窃密木马。这款在犯罪论坛出售的恶意软件窃取了大量内部和第三方服务的凭证。

泄露数据显示，该开发者曾使用相同的7位数字密码登录多家《财富》500强企业的Paradox.ai账户，包括Aramark、洛克希德·马丁、劳氏和百事。根据Hive Systems的密码强度指南，现代破解系统能瞬间破解7位纯数字密码。

单点登录系统也未能幸免

Paradox向KrebsOnSecurity确认，这些密码数据确实来自越南开发者的个人设备感染，并强调大多数暴露的密码已失效。公司自2020年起要求合作伙伴使用带多因素认证的单点登录(SSO)系统。

但审查发现，泄露数据包含该管理员在paradoxai.okta.com的SSO凭证（密码以"202506"结尾）以及Atlassian平台的认证cookie，这些令牌有效期均至2025年12月。

长期存在的安全问题

2019年2月，Paradox.ai宣布通过ISO 27001和SOC 2 Type II两项严格安全认证。但令人质疑的是，使用"123456"的测试账户自2019年后就未被发现。公司解释称当时对承包商的安全要求较低，现已多次更新安全策略。

调查还发现，另一名越南员工的Windows设备在2024年底感染了类似恶意软件（包含GitHub凭证）。两名员工的浏览记录显示他们经常下载盗版影视内容，这些文件常捆绑伪装成视频编解码器的恶意软件。