Santiago, 15° Intervalos nubososMcDonald’s quiso modernizar la contratación con IA: dejaron expuestos hasta 64 millones de registros con la contraseña "123456"
- 1 Días, 17 Horas, 5 Minutos
- Xataka.com
- Tecnología
McDonald’s quiso modernizar la contratación con IA: dejaron expuestos hasta 64 millones de registros con la contraseña "123456"
Ya nadie discute que la IAcambiará el mercado laboral, para empezar, ya está muy presente en losprocesos de reclutamientode personal. Los franquiciados de McDonald’s en EEUU utilizan un chatbot dereclutamiento basado en IAque recoge y gestiona los datos de los millones de nuevos candidatos que quieren trabajar en uno de los restaurantes de la cadena de hamburgueserías. Sin embargo, tal ycomo publicanenWired, quien lo configuró olvidó algo tan básico como cambiar la contraseña original del administrador de toda la plataforma.
El chatbot de selección. McDonald’s utiliza una plataforma llamada McHire, desarrollada por Paradox.ai, para gestionar elproceso de selección de personalmediante un chatbot conocido como Olivia. Cuando un candidato muestra interés por una oferta de trabajo, el chatbot entra en juego y solicita a los candidatos datos personales, preferencias de turno y los dirige a realizar un test de personalidad para procesar su candidatura. El uso de la inteligencia artificial pretendía agilizar y modernizar la contratación y realmente lo conseguía, ya que todo el proceso se hacesin intervención humana.
No obstante, tal ycomo contabanIan Carroll y Sam Curry, los investigadores que sin querer descubrieron el fallo, había dos cosas que les llamó la atención. La primera de ellas fue un hilo de Reddit en el que se aseguraba que la IA de contratación de McDonald’s estaba dandoalgunos fallos graciososvolviendo locos a los candidatos que intentaban dejar su solicitud de empleo.
La segunda cosa que les llevó a indagar un poco más sobre el chatbot de contratación de McDonald’s fue que les pareció muy extraño quela IA sustituyera los currículumspor un test de personalidad. "Me pareció bastante distópico comparado con un proceso de contratación normal, ¿verdad? Y eso fue lo que me animó a investigarlo más a fondo", aseguraba Carroll.
El fallo de seguridad: "123456".Los investigadores Ian Carroll y Sam Curry tienenmucha experiencia en ciberseguridad, por lo que a nadie sorprende que hayan conseguido vulnerar la seguridad de una plataforma.
Sin embargo, tal y como relatan en su blog, no necesitaron ninguno de sus grandes conocimientos técnicos para tomar el control de la plataforma como administradores. Simplemente accedieron al portal de McHire, que es la plataforma tras el chatbot de contratación de los empleados para las franquicias de McDonald’s, y usaron la contraseña "123456" en los campos de administrador y contraseña de acceso.
"Eso nos permitió, a nosotros y a cualquier otra persona, acceder a cualquier bandeja de entrada y recuperar los datos personales de más de 64 millones de solicitantes", aseguraron los expertos en ciberseguridad. Este acceso no solo permitía ver los datos de los candidatos, sino también intervenir en las conversaciones y procesos de selección en curso. "Resultó que nos habíamos convertido en administradores de un restaurante de prueba dentro del sistema McHire. Podíamos ver que todos los empleados del restaurante eran simplemente empleados de Paradox.ai, la empresa detrás de McHire".
Los datos no quedaron expuestos. Tras confirmar que, realmente se trataba de una vulnerabilidad de seguridad real, los investigadores se pusieron inmediatamente en contacto con Paradox.ai, quepublicó un comunicadoexplicando que "solo una pequeña parte de los registros accedidos por los investigadores contenía información personal" y que "la cuenta ‘123456’ que expuso estos datos no había sido accedida por nadie más que los investigadores". Además, explicaba que la credencial comprometida se trataba de una cuenta de prueba que "no había sido utilizada desde 2019 y, francamente, deberíahaber sido desactivada".
McDonald’s responsabilizó a su proveedor asegurando que "estamos decepcionados por esta vulnerabilidad inaceptable de un proveedor externo, Paradox.ai. Tan pronto como supimos del problema, ordenamos a Paradox.ai que lo solucionara, y se resolvió el mismo día en que se nos informó".
Paradox.ai también, anunció la puesta en marcha de un programa de recompensas por errores, para identificar vulnerabilidades de manera más efectiva en el futuro y ofrecer una retribución económica a quien detecte nuevas vulnerabilidades para corregirlas.
IA sin vigilancia. El contexto laboral hace que los datos expuestos sean especialmenteatractivos para los ciberdelincuentes, lo que pone de manifiesto la importancia de proveer de capas de seguridad adicional a loschatbots basados en IAque gestionan datos tan sensibles.
"Si alguien hubiera explotado esto, el riesgo de phishing habría sido realmente enorme. No se trata solo de información personal identificable y currículums. Es esa información de personas que buscan trabajo en McDonald’s, personas que están esperando con ansiascorreos electrónicos de respuesta", señalaban los investigadores.
Imagen | Flickr (Don Sniegowski)
-
La noticiaMcDonald’s quiso modernizar la contratación con IA: dejaron expuestos hasta 64 millones de registros con la contraseña "123456"fue publicada originalmente enXatakaporRubén Andrés.
0 Comentarios