Una severa vulnerabilidad de seguridad en el sistema de contratación con AI de McDonald’s ha expuesto la información personal de potencialmente 64 millones de solicitantes de empleo al acceso no autorizado.
Control de llave
1.
2. Investigadores accedieron a todo el sistema en 30 minutos utilizando conjeturas simples de contraseña y manipulación de la base de datos.
3. Nombres, correos electrónicos, números de teléfono y registros de chat fueron accesibles, lo que permitió posibles esquemas de phishing y fraude.
4. Ambas compañías reconocieron la violación, la solucionaron el mismo día, y Paradox.ai lanzó un programa de recompensa de errores.
Los investigadores de seguridad Ian Carroll y Sam Curry descubrieron que la plataforma MCHIRE, construida por la firma de software de inteligencia artificial Paradox.ai, sufrió fallas de seguridad elementales que permitieron a los piratas informáticos acceder a bases de datos de solicitantes utilizando credenciales tan simples como el nombre de usuario y la contraseña “123456”.
La violación destaca las fallas críticas de ciberseguridad en los sistemas de reclutamiento impulsados por la IA y plantea serias preocupaciones sobre la protección de datos en los procesos de contratación automatizados.
Contratación de AI Bot fugas datos del solicitante
La plataforma McHire McDonald’s se basa en un chatbot de IA llamado “Olivia” para racionalizar el proceso de reclutamiento para ubicaciones de franquicias.
Este sistema automatizado realiza proyecciones iniciales del solicitante, recopila información de contacto y currículums, y dirige a los candidatos a través de evaluaciones de personalidad.
El chatbot utiliza algoritmos de procesamiento del lenguaje natural para interactuar con los solicitantes de empleo, aunque muchos solicitantes han informado experiencias frustrantes con la incapacidad de la IA para comprender las consultas básicas correctamente.
La plataforma representa un cambio significativo hacia la gestión de recursos humanos impulsados por la IA, donde los algoritmos de aprendizaje automático reemplazan a los reclutadores humanos tradicionales en las etapas iniciales de la contratación.
Sin embargo, este avance tecnológico vino con severas vulnerabilidades de seguridad que expusieron datos del solicitante confidencial.
La infraestructura de backend del sistema, desarrollada por Paradox.AI, almacenó registros de chat integrales e información personal de millones de interacciones entre los solicitantes de empleo y el chatbot de IA.
Interacciones expuestas entre un solicitante de empleo y “Olivia”
Los investigadores de seguridad identificado Vulnerabilidades críticas múltiples a través de pruebas de penetración sistemática de la plataforma MCHIRE.
Su investigación comenzó con los intentos de encontrar vulnerabilidades de inyección rápidas, una técnica en la que los atacantes manipulan modelos de idiomas grandes enviando comandos específicos para evitar las salvaguardas de IA.
Cuando estos ataques no tuvieron éxito, giraron para examinar los mecanismos de autenticación de la plataforma.
El avance se produjo cuando Carroll descubrió un enlace de inicio de sesión del personal de paradoja.
Usando ataques básicos de diccionario, obtuvieron con éxito el acceso al administrador con la contraseña ridículamente débil “123456”.
La cuenta comprometida carecía de autenticación multifactor, un control de seguridad fundamental que podría haber evitado el acceso no autorizado.
Una vez dentro del sistema, los investigadores identificaron una vulnerabilidad insegura de referencia de objetos directos (IDOR) en la base de datos del solicitante.
Al manipular los números de identificación del solicitante a partir de valores superiores a 64 millones, podrían enumerar a través de registros y acceder a la información personal de otros solicitantes.
Esta vulnerabilidad permitió el recorrido completo de la base de datos, exponiendo nombres, direcciones de correo electrónico, números de teléfono e historias de chat que abarcan varios años.
McDonald’s y Paradox.ai respondieron
El conjunto de datos expuesto potencialmente contenía información personal de 64 millones de solicitantes, aunque Paradox.AI afirma que solo una fracción incluía datos confidenciales.
Los investigadores accedieron a siete registros durante su investigación, con cinco que contienen información de identificación personal.
Esta exposición a los datos creó riesgos significativos para las personas afectadas, particularmente con respecto a los ataques de phishing dirigidos donde los estafadores podrían hacerse pasar por los reclutadores de McDonald’s para cosechar información financiera para las estafas de nómina.
Tanto McDonald’s como Paradox.ai reconocieron la gravedad de la violación, con McDonald’s expresando decepción por los fracasos de seguridad de su proveedor de terceros.
La directora legal de Paradox.Ai, Stephanie King, confirmó los hallazgos y anunció la implementación de un programa de recompensas de errores para identificar futuras vulnerabilidades.
La compañía enfatizó que la cuenta de prueba comprometida había permanecido inactiva desde 2019 y debería haber sido desmantelada, destacando la mala higiene de seguridad en sus prácticas de desarrollo.
Piense como un atacante, dominando la seguridad del punto final con Marcus Hutchins – Registrarse ahora
