弱密码暴露 AI 招聘机器人制造商 Paradox.ai 的安全隐患

安全研究人员近期披露，麦当劳等《财富》500 强企业使用的 AI 招聘聊天机器人供应商 Paradox.ai 因使用简单密码"123456"，导致数百万求职者个人信息泄露。尽管该公司称这只是孤立事件，但来自越南员工的更多安全事件揭示了更深层的问题。

6400 万条记录暴露

本月初，安全研究人员 Ian Carroll 和 Sam Curry 发现通过简单方法就能访问 McHire.com（麦当劳特许经营商使用的招聘网站）的 AI 聊天机器人后台。据《Wired》首次报道，Paradox 使用的弱密码导致 6400 万条包含申请人姓名、邮箱和电话的记录暴露。

Paradox.ai 在 7 月 9 日的博客中承认研究人员的发现，但声称其他客户实例未受影响，且未泄露社保号等敏感信息。公司表示："根据记录，我们确信除安全研究人员外没有第三方访问过这个测试账户。该账户自 2019 年以来就无人登录，本应被停用。"

越南开发者的密码灾难

然而，多家数据泄露追踪服务显示，2025 年 6 月底，Paradox.ai 一名越南管理员的设备感染了名为"Nexus Stealer"的窃密木马。这款在犯罪论坛出售的恶意软件窃取了大量内部和第三方服务的凭证。

泄露数据显示，该开发者曾使用相同的 7 位数字密码登录多家《财富》500 强企业的 Paradox.ai 账户，包括 Aramark、洛克希德·马丁、劳氏和百事。根据 Hive Systems 的密码强度指南，现代破解系统能瞬间破解 7 位纯数字密码。

单点登录系统也未能幸免

Paradox 向 KrebsOnSecurity 确认，这些密码数据确实来自越南开发者的个人设备感染，并强调大多数暴露的密码已失效。公司自 2020 年起要求合作伙伴使用带多因素认证的单点登录(SSO)系统。

但审查发现，泄露数据包含该管理员在 paradoxai.okta.com 的 SSO 凭证（密码以"202506"结尾）以及 Atlassian 平台的认证 cookie，这些令牌有效期均至 2025 年 12 月。

长期存在的安全问题

2019 年 2 月，Paradox.ai 宣布通过 ISO 27001 和 SOC 2 Type II 两项严格安全认证。但令人质疑的是，使用"123456"的测试账户自 2019 年后就未被发现。公司解释称当时对承包商的安全要求较低，现已多次更新安全策略。

调查还发现，另一名越南员工的 Windows 设备在 2024 年底感染了类似恶意软件（包含 GitHub 凭证）。两名员工的浏览记录显示他们经常下载盗版影视内容，这些文件常捆绑伪装成视频编解码器的恶意软件。

更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手