La IA de McDonald’s para contratar personal tenía una contraseña absurda: “123456”. Expusieron los datos de millones de candidatos

En la era de la inteligencia artificial, buscar trabajo en McDonald’s puede limitarse a una simple conversación con Olivia. Pero Olivia no es una reclutadora de recursos humanos, sino un chatbot de IA diseñado para filtrar candidatos. Y hasta hace poco, este sistema sufría una vulnerabilidad de seguridad tan básica que roza lo increíble.

Siempre estamos recomendando utilizar contraseñas robustas para proteger los accesos a distintos servicios. No basta con poner como contraseña “Password” o el nombre seguido de varios números, ya que son fáciles de adivinar. Pero parece ser que McDonald’s no asistió a esa lección de seguridad, ya que por culpa de usar como contraseña “123456” se permitió el acceso a millones de registros de solicitantes de empleo de la cadena de comida rápida.

Un fallo de seguridad de primero de informática

Los investigadores de seguridad Ian Carroll y Sam Curry, conocidos por su historial en la detección de vulnerabilidades, descubrieron una serie de fallos alarmantes en la plataforma de IA Paradox.ai. Esta es una plataforma relevante, ya que está detrás del chatbot Olivia, que se utiliza en el portal de empleo de muchas franquicias de McDonald’s, McHire.com.

Lo que encontraron fue una puerta trasera completamente abierta. Con técnicas tan sencillas como adivinar un nombre de usuario y la contraseña (123456), los investigadores pudieron acceder a una base de datos con todos los registros de las conversaciones mantenidas entre Olivia y los aspirantes a puestos de trabajo en McDonald’s.

En concreto, accedieron sin dificultad a 64 millones de registros, que incluían información personal sensible como el nombre completo, direcciones de correo electrónico o números de teléfono.

Esto es un problema grave. Olivia es la cara visible de la automatización del proceso de contratación de McDonald’s. Este chatbot se encarga de la primera criba: pregunta a los candidatos por su información de contacto, solicita el currículum y los dirige hacia un test de personalidad. Aunque, según apuntan los investigadores, a veces puede “volver locos” a los solicitantes por no comprender preguntas básicas o repetidas.

Pero el mayor problema está en su seguridad. Tras contactar WIRED con Paradox.ai, los desarrolladores del software, estos confirmaron que existía una cuenta de acceso con la contraseña “123456”, aunque aseguraron que, aparte de estos investigadores de seguridad, “ningún tercero no autorizado accedió a ella”.

En Genbeta

Me lío tanto con las contraseñas de mis servicios y apps que he encontrado mi aliado perfecto: regenerarlas continuamente

Stephanie King, directora legal de Paradox.ai, afirmó: “No nos tomamos este asunto a la ligera, aunque se resolvió con rapidez y eficacia. Asumimos la responsabilidad”. Como medida para evitar futuros incidentes, la empresa ha anunciado la creación de un programa de bug bounty para incentivar la detección de vulnerabilidades.

Por su parte, McDonald’s se desmarcó por completo del problema, señalando directamente a su proveedor, Paradox.ai, como el principal responsable. En su comunicado, detallan lo siguiente:

Estamos decepcionados por esta vulnerabilidad inaceptable de un proveedor externo, Paradox.ai. Tan pronto como tuvimos conocimiento del problema, ordenamos a Paradox.ai que lo solucionara de inmediato, y se resolvió el mismo día que se nos informó

Este incidente pone de manifiesto los riesgos que conlleva externalizar a una IA el proceso de contratación, especialmente cuando tiene acceso a los datos personales de los aspirantes. Pero lo más grave es que medidas básicas de seguridad sigan sin estar interiorizadas en empresas tecnológicas supuestamente punteras, lo que recuerda que la ciberseguridad sigue siendo un pilar fundamental que no puede ser ignorado.

Imágenes | Shahbaz Ali Lewis Ogden

Fuente | Wired

En Genbeta | He dejado de usar contraseñas en todas mis cuentas de Google, Microsoft y Apple. Y me he quitado un peso de encima

(function() { window._JS_MODULES = window._JS_MODULES || {}; var headElement = document.getElementsByTagName(‘head’)[0]; if (_JS_MODULES.instagram) { var instagramScript = document.createElement(‘script’); instagramScript.src = ‘https://platform.instagram.com/en_US/embeds.js’; instagramScript.async = true; instagramScript.defer = true; headElement.appendChild(instagramScript); } })();

–
La noticia La IA de McDonald’s para contratar personal tenía una contraseña absurda: “123456”. Expusieron los datos de millones de candidatos fue publicada originalmente en Genbeta por José Alberto Lizana .