La password "123456" ha custodito per 6 anni i dati degli aspiranti dipendenti di McDonald's

Olivia, il chatbot che si occupa della selezione dei candidati che desiderano lavorare da McDonald's, è stata involontaria protagonista di un problema di sicurezza scoperto da due ricercatori indipendenti, Ian Carroll e Sam Curry: la piattaforma che gestisce Olivia, sviluppata da Paradox.ai, presentava falle elementari consentendo di attuare metodi estremamente semplici per violare il backend di McHire.com, il sito che viene usato da molte filiali di McDonald's per la gestione delle candidature.

I ricercatori hanno scoperto che era sufficiente inserire "123456" come credenziali di accesso, sia per nome utente, sia per password, per ottenere un accesso amministrativo alla piattaforma e ai dati in essa presente. Di fatto i ricercatori, dopo appena 30 minuti di test e ispezioni, hanno potuto accedere a 64 milioni di record contenenti nomi, indirizzi e-mail, numeri di telefono e l’intera cronologia delle chat tra Olivia e i candidati. Non solo: i ricercatori hanno individuato anche la possibilità di accedere ai dati di altri utenti semplicemente modificando l'ID numerico di una candidatura.

I ricercatori hanno colto lo spunto per verificare la sicurezza della piattaforma Olivia dopo aver riscontrato su Reddit le lamentele di molti utenti esasperati dal comportamento del bot (che attualmente è utilizzato solo in alcuni paesi, prevalentemente di lingua inglese). Carroll e Curry hanno prima cercato vulnerabilità di prompt injection (senza successo), poi tentando l’accesso come finti franchisee. È stato però un link di login per lo staff Paradox.ai a rivelarsi la vera porta d’ingresso.

Paradox.ai ha pubblicato un post sul proprio blog ufficiale, riconoscendo la gravità dell’incidente e comunicando di aver risolto rapidamente la vulnerabilità. La società ha inoltre annunciato l’introduzione di un programma di bug bounty per prevenire futuri problemi. Paradox.ai ha poi dichiarato che l'incidente ha interessato solamente un'istanza del client Paradox e che gli altri clienti non sono stati interessati. Si sarebbe trattato di un account "di prova" creato nel 2019 e che avrebbe dovuto essere disattivato. La società però afferma con certezza che dal 2019 l'unico accesso a quell'account è stato quello dei ricercatori di sicurezza i quali, sempre secondo Paradox, hanno visionato sette record, cinque dei quali contenevano dati personali effettivi. McDonald's, dal canto suo, ha espresso delusione per l’accaduto, sottolineando l’importanza di pretendere standard di sicurezza elevati dai fornitori terzi e ribadendo il proprio impegno per la protezione dei dati dei candidati.

Il rischio principale di una situazione come questa, evidenziano i ricercatori, non è solo la fuga di dati personali, ma il fatto che questi siano associati allo status di ricerca di lavoro presso McDonald’s. Questo dettaglio rende i candidati particolarmente vulnerabili a tentativi di phishing e truffe, poiché potrebbero essere contattati da finti recruiter proprio mentre attendono un riscontro reale dall’azienda. Quello che più sorprende è la totale assenza di misure di sicurezza basilari, come password robuste e autenticazione a due fattori, in un sistema che gestisce dati sensibili di milioni di persone.