Una brecha de seguridad en el sistema de contratación de McDonald’s dejó al descubierto los datos personales de más de 60 millones de solicitantes de empleo, tras el acceso no autorizado al chatbot ‘Olivia’, operado por la empresa de inteligencia artificial (IA) Paradox.ai.
El incidente fue descubierto por los investigadores independientes Ian Carroll y Sam Curry, quienes lograron acceder al backend del sistema utilizando la contraseña ‘123456’.
Los investigadores confirmaron que podían acceder a nombres completos, correos electrónicos, números de teléfono, historial de chats con Olivia, tokens de autenticación y formularios de disponibilidad laboral.
Aunque solo accedieron a siete registros para demostrar la vulnerabilidad, estiman que el sistema contenía más de 64 millones de aplicaciones.
TE PUEDE INTERESAR: OpenAI formaliza la adquisición de io para desarrollar hardware de IA junto a Jony Ive
¿Qué ocurrió con la clave de McDonald’s?
- El portal McHire, utilizado por más del 90% de las franquicias de McDonald’s para gestionar contrataciones, emplea a Olivia para recopilar información como currículums, datos personales y realizar pruebas de personalidad.
- Carroll y Curry, motivados por quejas en Reddit sobre respuestas absurdas del bot, intentaron detectar vulnerabilidades de inyección de avisos (prompt injection), sin éxito.
- Luego accedieron a una página de inicio de sesión para empleados de Paradox.ai y probaron con credenciales genéricas: usuario y contraseña ‘123456’.
- Sorprendentemente, lograron ingresar sin autenticación multifactor y visualizar datos sin enmascarar de millones de candidatos.
Respuesta de Paradox.ai y McDonald’s
- Paradox.ai reconoció que la cuenta comprometida era de prueba y había sido olvidada desde 2019.
- La empresa eliminó la cuenta y anunció la creación de un programa de recompensas por errores (bug bounty) para evitar futuras fallas.
- McDonald’s, por su parte, culpó directamente a su proveedor externo y aseguró que la vulnerabilidad fue corregida el mismo día que se notificó.
Foto: andreas160578 en Pixabay.