Vulnerabilitate de Securitate la Platforma AI de Angajare a McDonald's

McDonald's, la fel ca multe corporații mari, utilizează o platformă AI de angajare, McHire.com, pentru a selecta candidații. Procesul implică un chatbot numit Olivia, construit de Paradox.ai, care preia informații personale de la aplicanți, îi direcționează către un test de personalitate și răspunde la întrebări de bază despre companie.

Descoperirea Vulnerabilității

Recent, doi cercetători în securitate, Ian Carroll și Sam Curry, au dezvăluit vulnerabilități de securitate grave ale platformei. Aceștia au descoperit o serie de erori de securitate, unele dintre ele incredibil de simple, în backend-ul McHire.com. Perechea a reușit să acceseze un cont paradox.ai și bazele de date care conțineau jurnalele de chat ale fiecărui candidat, utilizând o parolă implicită „123456”.

Datele care ar fi putut fi accesate includ 64 de milioane de înregistrări, printre care nume, adrese de e-mail și numere de telefon. Carroll și Curry au explicat că au fost motivați să investigheze platforma datorită naturii sale "distopice". După ce au explorat chatbot-ul, cercetătorii au încercat să se înregistreze ca francizați, moment în care au găsit un link de conectare pentru personalul Paradox.ai. Încercând combinația de nume de utilizator și parolă "123456", au obținut acces de administrator.

Accesul la Date

Această vulnerabilitate le-a permis să vadă jurnalele de chat și informațiile aferente. Au accesat șapte conturi în total, cinci dintre ele conținând informații personale. Este important de menționat că nicio dată a candidatului nu a fost piratată sau divulgată, iar vulnerabilitatea a fost remediată de atunci. Paradox.ai a confirmat descoperirile cercetătorilor în securitate și a declarat că problema a fost rezolvată rapid. McDonald's a dat vina pe Paradox.ai pentru "vulnerabilitatea inacceptabilă", subliniind că problema "a fost rezolvată în aceeași zi în care ne-a fost raportată". Așa cum a relatat Wired, incidentul a generat îngrijorări serioase cu privire la securitatea datelor în procesele de angajare bazate pe AI.

Importanța Securității Datelor

Acest incident subliniază importanța securității datelor, în special în contextul utilizării tot mai frecvente a inteligenței artificiale în procesele de angajare. Este esențial ca companiile să implementeze măsuri de securitate robuste pentru a proteja datele personale ale candidaților și pentru a preveni astfel de incidente. Utilizarea parolelor implicite și lipsa unor protocoale de securitate adecvate pot avea consecințe grave, expunând date sensibile la riscul de acces neautorizat.