Un incident grav de securitate cibernetică a ieșit la iveală după ce doi cercetători independenți, Ian Carroll și Sam Curry, au descoperit că datele personale ale milioane de candidați la locuri de muncă la McDonald’s erau ușor accesibile prin intermediul unei platforme gestionate de inteligență artificială.
Chatbotul AI „Olivia”, folosit pe site-ul McHire.com pentru a prelua aplicațiile, analiza personalitatea și interacționa cu solicitanții, putea fi compromis cu parole simple, precum „123456”.
Platforma este dezvoltată de compania Paradox.ai, care furnizează software de recrutare automatizat cu inteligență artificială pentru McDonald’s și alte francize.
Carroll a devenit interesat de sistem după ce a citit plângeri online despre răspunsurile incoerente oferite de chatbot. După doar 30 de minute de testare, el și Curry au reușit să obțină acces de administrator la un cont de test, fără autentificare multifactorială, folosind doar parole banale.
Odată autentificați, cercetătorii au avut acces la interfața internă și au descoperit o altă vulnerabilitate: prin modificarea identificatorului numeric al aplicațiilor, puteau vizualiza mesajele și datele altor candidați.
Estimările indică existența a peste 64 de milioane de înregistrări, care includeau nume, adrese de email, numere de telefon și alte date transmise în conversațiile cu chatbotul.
Paradox.ai și McDonald’s confirmă problema și încearcă să limiteze daunele
După notificarea problemei, Paradox.ai a confirmat public descoperirile și a precizat că vulnerabilitatea a fost remediată în aceeași zi.
Potrivit companiei, contul compromis nu fusese accesat de terți în afară de cei doi cercetători, iar doar o mică parte din înregistrări conțineau date cu caracter personal.
Într-un interviu pentru WIRED, directorul juridic al Paradox.ai, Stephanie King, a recunoscut gravitatea situației și a anunțat lansarea unui program de tip „bug bounty” pentru prevenirea unor astfel de incidente în viitor. „Ne asumăm această eroare. Deși a fost rezolvată rapid, nu o tratăm cu ușurință”, a declarat King.
McDonald’s, la rândul său, a transmis un comunicat în care pune responsabilitatea direct pe furnizorul de tehnologie: „Suntem profund dezamăgiți de această vulnerabilitate inacceptabilă provenită de la un furnizor terț, Paradox.ai. Am cerut remedierea imediată a problemei, iar aceasta a fost rezolvată în ziua raportării”.
Deși doar șapte înregistrări au fost efectiv accesate de Carroll și Curry, dintre care cinci conțineau informații personale, cei doi au subliniat că riscurile pentru utilizatori au fost ridicate.
Dincolo de posibila rușine asociată cu aplicarea pentru un job de bază, datele puteau fi folosite în atacuri de tip phishing, escrocherii prin care persoane rău intenționate ar fi putut pretinde că sunt recrutori McDonald’s, solicitând date bancare pentru „configurarea salariului”.
O lecție dură despre pericolele automatizării fără securitate
Cazul ridică semne de întrebare serioase cu privire la digitalizarea proceselor de recrutare, în special atunci când acestea implică date sensibile ale unor persoane vulnerabile, precum tinerii sau cei aflați în căutarea unui loc de muncă de bază.
Folosirea unui chatbot de inteligență artificială care oferă răspunsuri neclare, direcționează candidații către teste de personalitate și stochează informații private fără protecție adecvată subminează încrederea în astfel de tehnologii.
Carroll a explicat că intenția lui nu a fost să ridiculizeze procesul de angajare la McDonald’s, ci să atragă atenția asupra unei combinații periculoase de tehnologie grăbit implementată și lipsa minimelor măsuri de securitate.
„Am tot respectul pentru angajații McDonald’s. Merg acolo frecvent. Dar modul în care această platformă tratează datele oamenilor e de neacceptat”, a spus el.