I dati di 64 milioni di candidati McDonald’s a rischio a causa dell'AI

Una falla sicurezza di proporzioni inaspettate ha esposto i dati personali di oltre 64 milioni di candidati che hanno cercato lavoro presso McDonald’s, mettendo a nudo la fragilità dei sistemi di selezione digitali adottati dalle grandi catene internazionali. L’incidente ha coinvolto la piattaforma McHire utilizzata per la gestione delle candidature tramite il chatbot Olivia, e ha sollevato una serie di interrogativi cruciali sulla protezione delle informazioni sensibili affidate alle tecnologie di intelligenza artificiale.

McHire non è sicuro

La vicenda ha avuto origine grazie all’intraprendenza di due ricercatori, Ian Carroll e Sam Curry, che hanno indagato sulle lamentele circolate su Reddit riguardo le risposte incoerenti fornite dal chatbot Olivia durante le fasi di selezione. Insospettiti dalla facilità con cui sembrava possibile interagire con il sistema, i ricercatori hanno deciso di testare i meccanismi di sicurezza della piattaforma.

La scoperta è stata sorprendente: bastava inserire credenziali elementari come “admin” e “123456” per ottenere l’accesso completo all’area amministrativa, senza alcuna autenticazione a due fattori o altre misure di protezione.

Una volta dentro, Carroll e Curry hanno potuto constatare che la piattaforma permetteva di visualizzare, modificare e manipolare i dati di chiunque avesse mai presentato una candidatura tramite McHire.

Nomi, indirizzi email, numeri di telefono e altri dettagli sensibili erano esposti senza alcun filtro, lasciando milioni di persone vulnerabili a possibili abusi. La situazione si è ulteriormente aggravata quando i ricercatori hanno scoperto che era possibile modificare gli identificativi delle candidature direttamente dal backend, accedendo così a qualsiasi conversazione e dato personale archiviato dal sistema.

Nonostante le possibilità offerte dall’accesso, Carroll e Curry hanno scelto di limitare la loro esplorazione per rispetto della privacy degli utenti. Tuttavia, i pochi record esaminati contenevano informazioni autentiche, la cui veridicità è stata confermata contattando direttamente alcuni candidati. Questo ha confermato la gravità della vulnerabilità e l’urgenza di un intervento tempestivo.

L’azienda conferma: c’è un bug

La società responsabile dello sviluppo della piattaforma McHire, cioè Paradox ai, ha riconosciuto pubblicamente la falla nella sicurezza, assicurando che nessun altro, oltre ai ricercatori, avrebbe sfruttato il difetto. Per rafforzare la sicurezza futura, Paradox ha annunciato l’introduzione di un programma di bug bounty, volto a incentivare la segnalazione di ulteriori vulnerabilità da parte della comunità di esperti. La falla è stata risolta nel giro di poche ore dalla segnalazione, ma l’episodio ha lasciato un segno indelebile sulla percezione della sicurezza dei processi di selezione digitali.

Dal canto suo, McDonald’s ha attribuito la responsabilità dell’accaduto al fornitore, sottolineando di aver richiesto un’immediata risoluzione del problema e di mantenere standard elevati per la protezione dei dati affidati ai propri partner. Tuttavia, l’incidente mette in discussione l’efficacia delle verifiche sui sistemi dei fornitori e la reale capacità di garantire la sicurezza dei dati in un contesto sempre più automatizzato.