Det gick lätt för en cybersäkerhetsexpert att ta sig in i McKinseys omhuldade AI-verktyg. För konsultjätten kommer avslöjandet olägligt.
Expert lyckades hacka McKinsey – tvingas agera
McKinsey & Company är en av världens stora konsultbolag. Men cybersäkerheten på bolaget höll inte toppklass.
Nu har McKinsey tvingats åtgärda säkerhetsbrister i sitt interna AI-system efter att en cybersäkerhetsforskare lyckats få tillgång till stora mängder interna data.
Intrånget riktades mot företagets plattform Lilli, ett AI-baserat verktyg som används av tusentals anställda för analys, strategi och projektarbete.
Kunde läsa i databasen
Enligt cybersäkerhetsföretaget CodeWall kunde deras AI-baserade verktyg få omfattande åtkomst till systemet på kort tid, skriver Financial Times.
Inom några timmar uppges det ha kunnat läsa och skriva i den centrala databasen bakom plattformen.
I processen identifierades bland annat tiotals miljoner interna chattmeddelanden och en stor mängd filnamn kopplade till dokument och presentationer.
Lilli används av omkring 40 000 medarbetare inom konsultbolaget och spelar en central roll i företagets arbete med att analysera data, planera projekt och ta fram material till kunder.
Satsar hårt på AI
Plattformen ingår i McKinseys bredare satsning på artificiell intelligens, ett område som har blivit allt viktigare för bolagets rådgivningsverksamhet.
Intrånget kan därför uppfattas som känsligt för företaget, särskilt eftersom konsultbolaget samtidigt arbetar med att hjälpa stora internationella företag att implementera AI-lösningar i sina verksamheter.
Enligt uppgifter från CodeWall kunde hackaren bland annat identifiera hundratusentals användarkonton, AI-assistenter och digitala arbetsytor inom systemet.
Ska ha agerat snabbt
Forskaren fick även insyn i hur AI-verktyget är konfigurerat, inklusive instruktioner och skyddsmekanismer som styr hur modellen ska användas.
McKinsey uppger att säkerhetsluckan rapporterades i slutet av februari och att bolagets säkerhetsteam snabbt agerade för att täppa till den.
Sårbarheten ska ha åtgärdats inom några timmar efter att den identifierades, samtidigt som företagets testmiljö för utveckling av kod tillfälligt togs offline.
Större risker
Företaget säger också att en extern forensisk undersökning genomförts och att man inte har funnit några tecken på att kunddata eller konfidentiell information har laddats ned eller utnyttjats av obehöriga.
Händelsen belyser samtidigt de växande riskerna i takt med att organisationer i snabb takt integrerar AI-system i sin verksamhet.
Enligt CodeWall kan framtida cyberhot i allt högre grad komma från automatiserade AI-verktyg som själva identifierar och attackerar potentiella mål.
Läs mer: Riksbanken: Svenskar måste få ett alternativ till Swish. Dagens PS
