McDonald’s e la falla di sicurezza nel chatbot AI Olivia: dati di milioni di candidati ad una posizione di lavoro a rischio

Un grave episodio scuote il mondo della selezione del personale digitale: una falla di sicurezza di proporzioni eccezionali ha colpito il sistema di recruiting automatizzato di McDonald’s, esponendo milioni di dati personali e mettendo in discussione l’affidabilità dei processi gestiti da intelligenza artificiale.

Secondo quanto emerso, sono stati resi accessibili ben 64 milioni di dati sensibili, senza alcuna protezione adeguata: mancava la doppia autenticazione e, ancora più allarmante, password elementari come “123456” garantivano accesso totale al database dei candidati.

La scoperta della vulnerabilità

La vulnerabilità, individuata grazie al lavoro di indagine dei ricercatori Ian Carroll e Sam Curry, ha fatto emergere gravi criticità nella piattaforma McHire.com, utilizzata da McDonald’s per la gestione delle candidature e alimentata dal chatbot AI Olivia, prodotto da Paradox.ai.

Le indagini sono partite da alcune segnalazioni apparse su Reddit riguardanti risposte incoerenti fornite dal sistema automatizzato. Carroll, insospettito, ha deciso di approfondire: in meno di mezz’ora è riuscito a entrare nell’area amministrativa senza particolari ostacoli, semplicemente modificando l’identificativo della candidatura per visualizzare i dati di qualsiasi utente registrato.

Assenza di controlli stringenti

Il cuore del problema risiedeva nell’assenza di controlli stringenti e nell’adozione di pratiche di sicurezza informatica insufficienti. L’accesso era possibile senza autenticazione a due fattori e le password deboli rappresentavano un invito a nozze per eventuali malintenzionati. Una volta dentro, chiunque poteva consultare informazioni personali di milioni di candidati, un patrimonio di dati che avrebbe potuto alimentare facilmente attività fraudolente e campagne di phishing su larga scala.

La reazione di Paradox.ai non si è fatta attendere. Stephanie King, Chief Legal Officer dell’azienda, ha dichiarato che la società prende molto seriamente l’accaduto, pur minimizzando parzialmente la portata della violazione e affermando che solo una piccola frazione dei record contenesse effettivamente dati sensibili. Tuttavia, per rassicurare clienti e candidati, è stato annunciato il lancio di un programma di bug bounty, con l’obiettivo di incentivare la segnalazione di future vulnerabilità e rafforzare la sicurezza dei sistemi.

La posizione di McDonald's

Dal canto suo, McDonald’s ha espresso profondo disappunto, definendo la vicenda come una “inaccettabile vulnerabilità” attribuibile al fornitore esterno, e ha richiesto un intervento immediato per sanare la situazione. La catena ha inoltre ribadito la necessità di mantenere i più elevati standard di protezione delle informazioni, sia per la tutela dei candidati sia per salvaguardare la propria reputazione.

Gli esperti di cybersecurity sottolineano come il rischio non sia limitato alla semplice esposizione di dati personali, ma riguardi soprattutto la possibilità che cybercriminali possano sfruttare queste informazioni per orchestrare sofisticate truffe online. L’ipotesi più temuta è quella di campagne di phishing mirate, in cui i malintenzionati si spacciano per recruiter ufficiali della nota catena, colpendo individui già in una posizione di vulnerabilità psicologica, perché in cerca di occupazione.