El gigante de la comida rápida McDonald’s ha participado recientemente en una considerable infracción de la seguridad, que ha en peligro la información personal de más de 60 millones de solicitantes. Este incidente tuvo lugar a través del portal de reclutamiento de la compañía, McHire, específicamente a través del chatbot llamado Olivia.
El Mchire Portal utiliza Olivia para recopilar detalles extensos de los solicitantes de empleo, incluidos los CV e información personal. Después de que se han recopilado estos datos, el chatbot establece candidatos para completar una ‘prueba de personalidad’ como parte del proceso de reclutamiento. El chatbot es administrado por Paradox.ai, una compañía de IA de terceros con sede en los Estados Unidos.
Los investigadores de seguridad independientes Ian Carroll y Sam Curry han expuesto la infracción y han detallado sus hallazgos en una publicación de blog. Identificaron una vulnerabilidad fundamental en el backend de la plataforma McHire AI que permitió el acceso no autorizado. Inicialmente, los investigadores notaron quejas sobre Reddit con respecto a las respuestas incoherentes de Olivia y decidieron investigar posibles vulnerabilidades para «inyección rápida». Dichas vulnerabilidades pueden permitir a los piratas informáticos manipular modelos de idiomas grandes ingresando tareas específicas que pueden conducir a un acceso no autorizado a datos confidenciales.
Durante la búsqueda de estas vulnerabilidades, Carroll y Curry no pudieron encontrar ninguna evidencia de problemas de inyección rápida. En cambio, intentaron registrarse como franquiciados de McDonald’s en el portal de McHire para obtener acceso al backend administrativo. Al encontrar la página de inicio de sesión destinada a ‘miembros del equipo de paradoja’, probaron una contraseña común, ‘123456’, y se les dio sorprendentemente acceso sin autenticación multifactorial. Esto les permitió ver la información personal desenmascarada de cada persona que había tratado con Olivia a lo largo de los años al solicitar los trabajos de McDonald’s.
Pensando en el incidente, Carroll expresó su sorpresa por descubrir la infracción. Hizo hincapié en la presencia de una «prueba de personalidad» como un aspecto particularmente curioso del proceso de reclutamiento, que estimuló su investigación. Dentro de solo 30 minutos después de solicitar un trabajo, los investigadores habían dado acceso casi completo a la extensa base de datos de aplicaciones de McDonald’s.
Cuando fue advertido sobre la infracción, Paradox.ai confirmó la vulnerabilidad y aseguró que se resolvió. La cuenta abierta por Carroll y Curry se describió como una cuenta de prueba que se pasó por alto accidentalmente durante los controles de seguridad. La compañía declaró que solo los dos investigadores tenían acceso a esta cuenta y que desde entonces ha sido eliminado.
En una respuesta a la infracción, la decepción de McDonald en Paradox.ai expresó el incidente como una «vulnerabilidad inaceptable». La compañía obligó a la remediación inmediata del problema, que según los informes se resolvió el mismo día que se le llamó la atención. McDonald’s repitió su dedicación a la seguridad cibernética y la responsabilidad de los proveedores externos con respecto a los estándares de protección de datos.
Según la publicación del blog de los investigadores, el asunto se conocía al mismo tiempo de manera confidencial tanto para Paradox.Ai como para McDonald’s, con medidas rápidas que se toman para abordar las preocupaciones.
