"123456". Expusieron los datos de millones de candidatos

En la era de la inteligencia fabricado, despabilarse trabajo en McDonald’s puede remitirse a una simple conversación con Olivia. Pero Olivia no es una reclutadora de medios humanos, sino un chatbot de IA diseñado para filtrar candidatos. Y hasta hace poco, este sistema sufría una vulnerabilidad de seguridad tan básica que roza lo increíble.

Siempre estamos recomendando utilizar contraseñas robustas para proteger los accesos a distintos servicios. No baste con poner como contraseña “Password” o el nombre seguido de varios números, ya que son fáciles de adivinar. Pero parece ser que McDonald’s no asistió a esa escarmiento de seguridad, ya que por yerro de usar como contraseña “123456” se permitió el ataque a millones de registros de solicitantes de empleo de la dependencia de comida rápida.

Un decreto de seguridad de primero de informática

Los investigadores de seguridad Ian Carroll y Sam Curry, conocidos por su historial en la detección de vulnerabilidades, descubrieron una serie de fallos alarmantes en la plataforma de IA Paradox.ai. Esta es una plataforma relevante, ya que está detrás del chatbot Olivia, que se utiliza en el portal de empleo de muchas franquicias de McDonald’s, McHire.com.

Lo que encontraron fue una puerta trasera completamente abierta. Con técnicas tan sencillas como adivinar un nombre de beneficiario y la contraseña (123456), los investigadores pudieron lograr a una almohadilla de datos con todos los registros de las conversaciones mantenidas entre Olivia y los aspirantes a puestos de trabajo en McDonald’s.

En concreto, accedieron sin dificultad a 64 millones de registros, que incluían información personal sensible como el nombre completo, direcciones de correo electrónico o números de teléfono.

Esto es un problema serio. Olivia es la cara visible de la automatización del proceso de contratación de McDonald’s. Este chatbot se encarga de la primera criba: pregunta a los candidatos por su información de contacto, solicita el currículum y los dirige cerca de un test de personalidad. Aunque, según apuntan los investigadores, a veces puede “retornar locos” a los solicitantes por no comprender preguntas básicas o repetidas.

Pero el longevo problema está en su seguridad. Tras contactar WIRED con Paradox.ai, los desarrolladores del software, estos confirmaron que existía una cuenta de ataque con la contraseña “123456”, aunque aseguraron que, diferente de estos investigadores de seguridad, “ningún tercero no acreditado accedió a ella”.

Stephanie King, directora lícito de Paradox.ai, afirmó: “No nos tomamos este asunto a la ligera, aunque se resolvió con celeridad y capacidad. Asumimos la responsabilidad”. Como medida para evitar futuros incidentes, la empresa ha anunciado la creación de un software de bug bounty para incentivar la detección de vulnerabilidades.

Por su parte, McDonald’s se desmarcó por completo del problema, señalando directamente a su proveedor, Paradox.ai, como el principal responsable. En su comunicado, detallan lo próximo:

Estamos decepcionados por esta vulnerabilidad inaceptable de un proveedor foráneo, Paradox.ai. Tan pronto como tuvimos conocimiento del problema, ordenamos a Paradox.ai que lo solucionara de inmediato, y se resolvió el mismo día que se nos informó

Este incidente pone de manifiesto los riesgos que conlleva externalizar a una IA el proceso de contratación, especialmente cuando tiene ataque a los datos personales de los aspirantes. Pero lo más serio es que medidas básicas de seguridad sigan sin estar interiorizadas en empresas tecnológicas supuestamente punteras, lo que recuerda que la ciberseguridad sigue siendo un pilar fundamental que no puede ser ignorado.

Imágenes | Shahbaz Ali Lewis Ogden

Fuente | Wired

En Genbeta | He dejado de usar contraseñas en todas mis cuentas de Google, Microsoft y Apple. Y me he quitado un peso de encima