Los investigadores de seguridad Ian Carroll y Sam Curry han descubierto involuntariamente un importante error de seguridad en el chatbot de IA de McDonald’s, solía contratar nuevos empleados, mientras intentaba piratear el respaldo. Su experimento, realizado el 30 de junio, condujo a revelaciones alarmantes con respecto a la vulnerabilidad de la plataforma de reclutamiento de McDonald’s.
Durante su interacción con ‘Olivia’, el asistente de recuperación de IA descubierto por Paradox.ai, Carroll y Curry un inicio de sesión para acceder al personal en el sitio MCHire.com. Este descubrimiento fue llamado a su atención por un puesto de Reddit en el cable R/Lichtinfuting que enfatizaba las frustraciones con el proceso de reclutamiento de la IA de McDonald’s.
En un tiempo increíblemente corto, solo media hora, la pareja adivinó con éxito los detalles de inicio de sesión, que pone en peligro la plataforma con la contraseña simple «123456». Esto les permitió obtener acceso administrativo completo, para que pudieran manipular aún más el sistema para extraer datos confidenciales, incluidos nombres, direcciones de correo electrónico y números de teléfono de los solicitantes. Las primeras estimaciones sugieren que las aplicaciones de chatbot con numeración de hasta 64 millones.
Después de sus hallazgos, Paradox.ai reconoció la infracción de la seguridad y enfatizó que los MaaS no fueron explotados por actores malignos fuera de los investigadores de la ley. Declararon que Carroll y Curry solo tenían acceso a datos relacionados con un número limitado de solicitantes para verificar la validez de sus reclamos. La compañía anunció planes para establecer un «programa de bug -bounty» como una medida para mejorar sus protocolos de seguridad.
Stephanie King, directora legal de Paradox.ai, expresó la gravedad de la empresa con respecto al incidente y declaró: «No tomamos este caso un poco, aunque se resolvió de manera rápida y efectiva».
En respuesta, McDonald’s colocó el cuadrado de responsabilidad en Paradox.AI y expresó su decepción por las medidas de seguridad de su proveedor externo. McDonald’s ha emitido una declaración que confirma que la vulnerabilidad se abordó de inmediato en el descubrimiento, fortaleciendo su dedicación a la seguridad cibernética y el cumplimiento de sus socios de protección de datos.
El incidente ha planteado preguntas críticas sobre los protocolos de seguridad en torno a las tecnologías de reclutamiento impulsadas por la IA y las responsabilidades de las empresas involucradas en el procesamiento de grandes cantidades de datos confidenciales.
