Un bot de contratación de IA de McDonald’s expuso los datos de millones de solicitantes a hackers que usaron la contraseña ‘123456’.
Vulnerabilidades en la seguridad han expuesto la información personal de decenas de millones de personas que buscan empleo en McDonald's, a través del sitio "McHire" desarrollado por la empresa de software de inteligencia artificial Paradox.ai.
Recientemente se reveló que el proceso de contratación de McDonald's, que incluye un chatbot de inteligencia artificial llamado Olivia, presentaba serias fallas de seguridad. Olivia tiene la tarea de evaluar a los solicitantes, recoger su información de contacto y currículos, así como dirigirlos a pruebas de personalidad. Sin embargo, hasta hace poco, el sistema de Olivia se vio comprometido por vulnerabilidades muy básicas que permitían a los hackers acceder a los registros de conversaciones con los candidatos, exponiendo así datos personales sensibles.
Los investigadores de seguridad Ian Carroll y Sam Curry determinaron que era posible acceder al backend de la plataforma del chatbot en McHire.com, que muchos franquiciados de McDonald's utilizan para gestionar solicitudes de empleo. Mediante métodos simples, como eludir contraseñas débiles, lograron acceder a una cuenta de Paradox.ai, la empresa responsable del desarrollo del software. Este acceso les permitió consultar bases de datos que contenían cerca de 64 millones de registros de chats con Olivia, incluyendo nombres, direcciones de correo y números de teléfono de los solicitantes.
Carroll se interesó en la seguridad del sitio McHire tras ver quejas en redes sociales acerca del chatbot que, según los usuarios, desperdiciaba tiempo respondiendo con confusiones y desinformación. Él y Curry comenzaron a realizar pruebas en el sistema, buscando vulnerabilidades, cuando decidieron hacerse pasar por franquiciados de McDonald's para explorar el backend del sitio. Al intentar acceder, encontraron un enlace de inicio de sesión que, sorprendentemente, se podía acceder con contraseñas comunes y poco seguras.
Al acceder con la contraseña "123456", pudieron ver que tenían acceso administrativo a una cuenta de prueba de McDonald's en McHire. A partir de ahí, hicieron descubrimientos alarmantes, incluyendo la posibilidad de alterar el número de identificación de solicitantes para ver registros de otros usuarios. Aunque se mostraron cautelosos y evitaron acceder a demasiados registros para no violar la privacidad de los involucrados, confirmaron que la información personal era real.
Si bien los datos expuestos no son los más delicados, se consideraron riesgosos debido a la relación con la búsqueda de empleo en McDonald's. Esta situación podría haber facilitado estafas mediante suplantación de identidad, donde delinquir podría haber sido sencillo utilizando la información recopilada de los solicitantes. Los investigadores señalaron que esto podría resultar en escenarios donde estafadores se presentaran como reclutadores de McDonald's solicitando información financiera, lo que representa un riesgo considerable para aquellos que buscan empleo.
La exposición de las dificultades que enfrentan algunos solicitantes para conseguir lo que frecuentemente son trabajos de bajo salario también podría ser motivo de incomodidad. Sin embargo, Carroll reiteró que no hay razón para sentirse avergonzado por trabajar en McDonald's, destacando su respeto por los trabajadores de la cadena.
