Инновационные технологии в рекрутинге: как AI помогает компаниям и какие риски это несет
Современные компании всё чаще внедряют искусственный интеллект для автоматизации этапов найма сотрудников. Такие системы помогают быстро просматривать резюме, отбирать наиболее подходящих кандидатов и вести первичное общение — всё это значительно сокращает время и затраты на подбор персонала. Одним из популярных решений является платформа McHire, созданная на базе чатбота Olivia от компании Paradox.ai, которая призвана упростить процесс подбора кадров в таких гигантах, как McDonald’s.
Обеспокоенность конфиденциальностью: что случилось на самом деле
Несмотря на очевидные преимущества, использование AI в найме вызывает и опасения по поводу защиты личных данных. Эти опасения подтвердились, когда два специалиста по информационной безопасности ответственно сообщили о серьезной уязвимости, которая позволила получить доступ к небольшому числу записей кандидатов. Хотя первоначальные сведения говорили о возможной утечке данных более чем миллионов заявок, реальное расследование показало, что злоумышленники получили доступ только к семи диалогам внутри тестового аккаунта.
Что произошло и как компания отреагировала
Исследователи обнаружили слабое место 30 июня 2025 года в тестовом аккаунте Paradox.ai, связанного с одной из клиентов — McDonald’s. Используя устаревшие и слабые учетные данные, они получили доступ к порталу тестирования и обнаружили незащищенную API-часть, связанную с записями о чатах.
Из семи извлеченных логов пять содержали информацию о кандидатах из США, включая такие данные, как имя, контактные сведения и детали резюме. Остальные два файла не включали личную информацию. Важно отметить, что ни номера социальных страховых взносов, ни финансовые данные, ни полные заявления о приеме на работу не были раскрыты, а все чувствительные поля оставались защищенными.
Компания Paradox.ai оперативно отключила уязвимый аккаунт и закрыла доступ к API-эндпоинту в течение нескольких часов после уведомления. В своем официальном заявлении она подтвердила, что только пять записей кандидатов с личными данными были затронуты и что никакие данные не были опубликованы или использованы злоумышленниками.
Какова природа уязвимости и возможные последствия
Paradox.ai признала, что тестовый аккаунт был создан ещё до 2019 года и не соответствовал современным стандартам безопасности, так как использовал устаревшие учетные данные. В результате инцидента компания провела внутреннее расследование и приняла меры по устранению уязвимости.
Что касается масштабов возможной утечки, ранние сообщения предполагали, что злоумышленники могли получить доступ к 64 миллионам заявок. Однако, по результатам расследования, никаких доказательств масштабных сборов данных обнаружено не было — доступ ограничился семью диалогами.
Что необходимо знать кандидатам и как защитить свои данные
Этот инцидент ярко иллюстрирует, насколько легко личная информация может оказаться в руках злоумышленников, даже если вы просто подаете заявку на работу через AI-систему. Чтобы снизить риски, придерживайтесь следующих рекомендаций:
- Ограничивайте предоставление информации — избегайте указывания номера социального страхования, банковских реквизитов или полного домашнего адреса, если не уверены в надежности платформы.
- Используйте отдельный электронный адрес для подачи заявок — он поможет организовать вашу работу и быстро распознавать подозрительные сообщения.
- Проверяйте безопасность сайта — убедитесь, что URL начинается с https:// и сайт выглядит профессионально.
- Используйте менеджеры паролей — они помогут создавать и хранить уникальные и сложные пароли для каждого аккаунта.
- Следите за подозрительными письмами — будьте внимательны к сообщениям, запрашивающим личные данные или предлагающим необычные действия.
Меры по защите личных данных и мониторинг
Обнаружение уязвимости в платформе McHire показывает, насколько важно использовать сервисы по удалению личной информации из интернета. Эти сервисы помогают отслеживать и удалять ваши данные с сотен сайтов-агрегаторов, снижая вероятность их использования в мошеннических схемах и кибератаках.
Хотя никакой сервис не может гарантировать полное исключение всех данных из сети, регулярный мониторинг и автоматизация удаления помогают значительно снизить риски. Посетите проверенные сервисы по удалению информации и узнайте, есть ли ваши данные в открытом доступе, чтобы своевременно принять меры по их защите.
Что делать после подачи заявки и как не попасться на мошенников
После отправки резюме будьте внимательны к электронным письмам и сообщениям. Мошенники часто используют утекшую или скомпрометированную информацию для фишинговых атак, притворяясь рекрутерами или работодателями. Не переходите по подозрительным ссылкам и всегда проверяйте контактные данные компании перед предоставлением дополнительных сведений.
Участие в подобных инцидентах показывает, что даже самые простые шаги по обеспечению безопасности могут значительно повысить вашу защиту. Важно помнить, что, несмотря на технологические достижения, защита персональных данных остается приоритетом для всех участников процесса найма.
Дарья Тимошенко
Автор. Технологический обозреватель. Пишет о цифровых трендах, инновациях и гаджетах. Разбирает сложное просто, следит за будущим уже сегодня. Все посты