Una falla di sicurezza imbarazzante ha colpito la piattaforma di reclutamento McHire di McDonald’s, mettendo potenzialmente a rischio oltre 64 milioni di Curriculum Vitae inviati da candidati in tutto il mondo.
Il colpevole? Olivia, il chatbot AI sviluppato da Paradox.ai, utilizzato da McDonald’s per gestire colloqui, CV e test di personalità durante le fasi di assunzione.
️♂️ La scoperta (assurda) di due ricercatori
I ricercatori di cybersicurezza Ian Carroll e Sam Curry hanno individuato un link “riservato al personale” mentre visitavano il sito McHire. Spinti dalla curiosità, hanno tentato il più classico dei tentativi:
Username: admin
Password: 123456
E incredibilmente, hanno avuto accesso immediato al sistema.
Cosa era accessibile?
Una volta dentro, i due ricercatori si sono accorti che ogni candidatura era identificata da un ID numerico progressivo. Cambiando l’ID nell’URL si poteva navigare tra i profili dei candidati, visualizzando:
-
Nome completo
-
Indirizzo email
-
Numero di telefono
-
CV allegato
-
Risposte ai test
-
Cronologia chat con l’AI Olivia
Un vero paradiso per truffatori, spammer e cybercriminali, in grado di avviare campagne di phishing ultra-mirate o fingere offerte di lavoro credibili.
Una falla che fa tremare: 64 milioni di profili in pericolo
Secondo le stime, oltre 64 milioni di candidature erano potenzialmente esposte a causa di questa password elementare e dell’assenza di ogni protezione extra (niente autenticazione a due fattori, niente captcha, nessun sistema di alert).
“È più comune di quanto si pensi,” ha commentato Ian Carroll. “Ma vedere una simile leggerezza su un sistema con milioni di dati personali è aberrante.”
Anche se i dati non contenevano numeri di carte o documenti ufficiali, resta un rischio concreto per la privacy e la sicurezza di chi ha cercato lavoro attraverso McHire.
Quando l’AI diventa un pericolo
Olivia è solo l’ultima dimostrazione che l’intelligenza artificiale applicata alle risorse umane può diventare un rischio se non gestita con standard di sicurezza adeguati.
Questa vicenda solleva domande serie sulla responsabilità delle aziende tech che offrono soluzioni AI per la gestione del personale, spesso adottate in massa senza adeguati controlli da parte dei clienti finali.
Cosa imparare da questo caso
-
Anche le grandi aziende non sono immuni da errori basilari.
-
L’intelligenza artificiale non esclude la necessità di sicurezza tradizionale.
-
Gli utenti devono sapere dove vanno a finire i loro dati e chi li protegge davvero