Bastava la password ‘123456’ per accedere ad Olivia, il chatbot AI di McDonald’s per l’automazione dei processi di assunzione. Ebbene, il sistema è stato al centro di una grave violazione di sicurezza, con la compromissione di milioni di dati personali.
Chiavi di sicurezza
Olivia, il chatbot AI che McDonald’s usa per automatizzare il processo di selezione dei candidati è stato al centro di una grave violazione di sicurezza che ha compromesso milioni di dati personali. Non che i cyber criminali abbiano dovuto mettere a punto chissà quale tecnica, visto che per l’accesso al portale bastano il nome utente e la password ‘123456’.
Il sistema, sviluppato dall’azienda Paradox.ai e impiegato attraverso la piattaforma McHire.com, aveva in essere delle vulnerabilità fin troppo evidenti, considerando l’accesso alle informazioni sensibili.
Due esperti di sicurezza, Ian Carroll e Sam Curry hanno scoperto la portata della vulnerabilità. Grazie a questa falla, infatti, era possibile consultare l’intero archivio degli scambi tra i candidati e Olivia. Al suo interno c’erano non meno di 64 milioni di dati stoccati con nomi, email e numeri di telefono.
L’origine dell’indagine
La particolarità del caso è stata la stessa indagine, che è partita in modo quasi casuale. Carroll ha provato ad inviare una candidatura tramite Olivia e in meno di mezz’ora è riuscito a violare l’infrastruttura della piattaforma.
Di fronte alle evidenze, Paradox.ai non ha potuto che confermare l’accaduto. Inoltre, ha assicurato che nessun altro soggetto, oltre ai due ricercatori, ha avuto accesso ai dati compromessi. L’azienda ha anche annunciato l’avvio di un programma di bug bounty (con ricompense in denaro per la segnalazione di bug) per rafforzare la propria sicurezza.
La versione di McDonald’s
Il danno, tanto d’immagine che economico, ha portato McDonald’s ad esprimere disappunto per l’accaduto. La multinazionale statunitense ha inoltre addossato ogni responsabilità al fornitore esterno, affermando di aver imposto un’immediata correzione della falla nel giorno stesso della segnalazione.
Le dinamiche del problema e le conseguenze dell’incidente hanno sollevato una serie di interrogativi critici sulla sorveglianza delle infrastrutture AI impiegate nei processi di risorse umane. E insieme, sulla negligenza nell’adozione di pratiche basilari di cybersecurity, specialmente durante la gestione di dati altamente sensibili.
