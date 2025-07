Due ricercatori di cybersicurezza si sono divertiti a digitare “admin” come username e “123456” come password. Al secondo tentativo erano dentro il sistema di reclutamento AI di McDonald’s, con accesso a 64 milioni di Curriculum Vitae…

Il chatbot AI Olivia di McDonald’s espone i dati di milioni di candidati ignari

Il protagonista di questa debacle si chiama Olivia, un chatbot AI sviluppato da Paradox.ai che gestisce parte del processo di assunzione di McDonald’s attraverso la piattaforma McHire. I candidati interagiscono con questa intelligenza artificiale, condividendo CV, dati personali e sostenendo test di personalità.

Ian Carroll e Sam Curry, i due esperti che hanno scoperto la falla, stavano visitando il sito quando hanno notato un link di accesso riservato al personale di Paradox.ai. Per pura curiosità hanno provato le combinazioni di credenziali più banali del mondo.

Una volta all’interno del sistema, i ricercatori hanno scoperto che ogni candidatura era identificata da un numero progressivo. Bastava modificare questo identificativo nell’URL per saltare da un profilo all’altro. Nome, email, numero di telefono, cronologia delle conversazioni con Olivia: tutto era lì, in bella mostra e accessibile. Un mucchio di informazioni personali che poteva trasformarsi in oro colato per truffatori e criminali informatici specializzati in phishing e false offerte di lavoro.

L’epic fail dell’AI di McDonald’s

Il numero, sinceramente, fa impressione. 64 milioni di CV erano potenzialmente accessibili attraverso questa falla elementare. Anche se i dati non includevano informazioni finanziarie o documenti di identità, rappresentavano comunque un rischio concreto per chi aveva cercato lavoro da McDonald’s.

È più comune di quanto si pensi , commenta Ian Carroll. Ma vedere una password così debole, senza protezioni aggiuntive, per un sistema che contiene milioni di dati personali è semplicemente aberrante.

McDonald’s ha reagito puntando il dito contro Paradox.ai: Siamo molto delusi da questa inaccettabile vulnerabilità da parte di un partner terzo. Appena ne siamo venuti a conoscenza, abbiamo chiesto di rimediare immediatamente al problema, cosa che è stata fatta nella giornata.

Paradox.ai ha riconosciuto l’errore e promesso misure correttive, ma il danno reputazionale per entrambe le aziende è già fatto.