Il Bot di Assunzioni AI di McDonald’s Espone 64 Milioni di Candidati in un Grave Violazione dei Dati

Image by Erik Mclean, from Unsplash

Il Bot di Assunzioni AI di McDonald’s Espone 64 Milioni di Candidati in un Grave Violazione dei Dati

Tempo di lettura: 3 Min.

Ultimo aggiornamento: Jul 11, 2025

La debole password del chatbot per le assunzioni di McDonald’s ha esposto i dati di milioni di candidati al lavoro, sollevando seri dubbi riguardo l’IA, la privacy e le pratiche di sicurezza digitale.

Di fretta? Ecco i fatti essenziali:

  • Il bot AI di McHire ha esposto oltre 64 milioni di registrazioni di candidati McDonald’s agli hacker.
  • Gli hacker hanno avuto accesso ai dati utilizzando la password “123456” su un account Paradox.ai.
  • Dettagli personali come nomi, email e numeri di telefono erano visibili.

Una grave vulnerabilità di sicurezza nella piattaforma di assunzione di McDonald’s ha esposto i dati personali di milioni di candidati utilizzando metodi sorprendentemente semplici, come riportato per la prima volta da WIRED. Il problema di sicurezza è stato riscontrato su McHire.com, che consente ai candidati di interagire con “Olivia”, il chatbot AI sviluppato da Paradox.ai per la selezione dei candidati.

WIRED riporta che gli esperti di sicurezza Ian Carroll e Sam Curry hanno ottenuto l’accesso al sistema backend di McHire attraverso la combinazione del nome utente e della password “123456”. I ricercatori hanno ottenuto accesso alle informazioni dei candidati, inclusi nomi, email, numeri di telefono e registri di chat di oltre 64 milioni di record dopo essere entrati nel sistema.

“Ho solo pensato che fosse piuttosto unico e distopico rispetto a un normale processo di assunzione”, ha detto Carroll a WIRED. “Così ho iniziato a fare domanda per un lavoro e poi, dopo 30 minuti, avevamo pieno accesso a praticamente ogni domanda di lavoro che è mai stata fatta a McDonald’s negli ultimi anni”, ha aggiunto Carroll.

Paradox.ai ha confermato la falla in una dichiarazione e ha detto che solo un piccolo numero di record conteneva dati personali. L’account esposto non era stato accessato dal 2019 e mancava di protezioni di base come l’autenticazione multifattore. “Non prendiamo alla leggera questa questione,” ha detto Stephanie King, il capo legale di Paradox.ai, come riportato da WIRED. “Ne siamo responsabili,” ha aggiunto.

WIRED ha riportato che McDonald’s ha rilasciato una dichiarazione differente, che indicava Paradox.ai come la fonte del problema e affermava che la questione era stata risolta immediatamente. “Siamo delusi da questa inaccettabile vulnerabilità di un fornitore terzo,” ha detto l’azienda.

Carroll e Curry hanno spiegato che i dati esposti potrebbero essere utilizzati per eseguire attacchi di phishing fingendosi il personale delle risorse umane di McDonald’s, che richiederebbe informazioni finanziarie sensibili ai candidati. I dati esposti includevano informazioni non sensibili, ma il loro contesto come domande di lavoro a salario minimo creava potenziali rischi di danno per i candidati.

Hai apprezzato questo articolo?
Valutalo!
L'ho odiato Non mi è piaciuto Non male Molto bene! L'ho amato!

Siamo felici che ti sia piaciuto il nostro lavoro!

In qualità di stimato lettore, ti dispiacerebbe lasciare una recensione su Trustpilot? Richiede poco tempo e significa tantissimo per noi. Grazie mille!

Valutaci su Trustpilot
0 Votato da 0 utenti
Titolo
Commento
Grazie per la tua opinione!