Due ricercatori, esperti in cybersicurezza, Ian Carroll e Sam Curry, hanno fatto una scoperta alquanto preoccupante. In pratica, i dati di circa 64 milioni di candidati a un lavoro per McDonald’s, il fast food più famoso e diffuso al mondo, sarebbero in pericolo. Nello specifico, i ricercatori avrebbero individuato falle di sicurezza all’interno del ChatBot AI di McHire.com.

Facciamo un passo indietro, per capire meglio la situazione. Se sei un utente americano e vuoi candidarti per un lavoro in questa azienda dovrai “affrontare” un ChatBot di intelligenza artificiale che ti esaminerà chiedendoti dati personali, informazioni sensibili, curriculum e domande riguardo a un test sulla personalità.

Carroll e Curry hanno scoperto una falla nella sicurezza della piattaforma di McDonald’s, creata da Paradox.ai. “Durante una rapida verifica della sicurezza durata poche ore, abbiamo individuato due gravi problemi: l’interfaccia di amministrazione di McHire per i ristoratori accettava le credenziali predefinite 123456:123456e un IDOR (Direct Object Reference) non sicuro su un’API interna ci consentiva di accedere a tutti i contatti e le chat desiderati“, hanno spiegato nel loro documento ufficiale.

Nello specifico, i due ricercatori hanno dichiarato: “Senza pensarci troppo, abbiamo inserito ‘123456‘ come nome utente e ‘123456‘ come password e siamo rimasti sorpresi nel vedere che avevamo effettuato immediatamente l’accesso“. Questa falla ha poi permesso loro di recuperare i dati personali di oltre 64 milioni di candidati.

I candidati di McDonald’s negli Stati Uniti sono ancora in pericolo?

Secondo quanto pubblicato da Carroll e Curry in un elenco cronologico dei fatti, al momento sembra che Paradox.ai ha risolto i problemi. Quindi i candidati di McDonald’s negli Stati Uniti non sarebbero più in pericolo. O meglio, i dati e le informazioni personali di essi non sono più in pericolo.

“Abbiamo iniziato a divulgare immediatamente questo problema non appena ne abbiamo compreso il potenziale impatto“, hanno spiegato gli esperti. “Dopo che il nostro contatto ha raggiunto le persone appropriate, il team di Paradox.ai ha interagito con noi, sottolineando che la salvaguardia dei dati dei candidati e dei clienti era la loro massima priorità, ha prontamente rimediato alla vulnerabilità e si è impegnato a effettuare ulteriori verifiche per identificare e chiudere eventuali restanti canali di sfruttamento“.

“Tutto è bene quel che finisce bene”, recita un detto popolare o anche il titolo di una commedia di William Shakespeare. Ad ogni modo, resta una certa preoccupazione nell’aria. Come è possibile che piattaforme così importanti possano presentare criticità di questo tipo? Speriamo che questo non si ripeta più. Situazioni simili mettono in pericolo gli utenti, senza che se ne accorgano. Il furto di identità potrebbe essere dietro l’angolo.