this post was submitted on 10 Mar 2026
1 points (100.0% liked)

🔎 Cyberveille

92 readers
2 users here now

Bienvenue dans Cyberveille — un espace de partage et de discussion autour de l’actualité de la cybersécurité francophone, avec un accent suisse 🫕 et européen.

💡 Vocation

💬 Thèmes principaux

🔐 Infosec · OSINT · Threat intel · Privacy · Blue Team · Sécurité des systèmes d’information · Législation et conformité

~Une partie du contenu provient du projet Cyberveille.ch , une veille francophone sur la cybersécurité gérée par un humain et un bot.~

📩 modérateur: decio

founded 4 months ago
MODERATORS
decio
1
Un agent IA a piraté le chatbot de McKinsey et accédé à 46 millions de messages confidentiels (korben.info)
submitted 5 days ago by decio to c/cyberveille
1 comments fedilink hide all child comments
 
  • Un agent IA a vidé la plateforme Lilli de McKinsey en 2h : 46,5 millions de messages en clair, 728 000 fichiers clients et accès en écriture à la base de données, via une injection SQL classique sur un endpoint non authentifié.
  • La faille existait depuis 2023 sur une plateforme utilisée par 70% des 40 000 consultants de McKinsey (500 000 requêtes/mois), mais les scanners OWASP ZAP l'ont ratée parce qu'ils testaient les valeurs des paramètres, pas les noms de champs.
  • Les 95 prompts système contrôlant le chatbot étaient modifiables en écriture : suffisait d'une requête SQL UPDATE pour empoisonner les réponses à tous les utilisateurs sans laisser de trace. Résumé généré par IA

Un agent IA autonome a percé les défenses de Lilli, la plateforme d'intelligence artificielle interne de McKinsey, c'est arrivé en à peine deux heures. Au programme : 46,5 millions de messages en clair, 728 000 fichiers clients et un accès en écriture à l'ensemble de la base de données. Le tout sans aucun identifiant.

you are viewing a single comment's thread
view the rest of the comments
[–] decio 1 points 5 days ago

Source originale: How We Hacked McKinsey's AI Platform