Olivia es el nombre del bot de contratación, asistido por inteligencia artificial, que filtró recientemente la información de millones de aspirantes que buscaban trabajar en McDonald’s, informa Wired en su página web.
La función de Olivia es hablar brevemente con las personas aspirantes y pedir su información de contacto y currículum para posteriormente pasarlos a un test de personalidad, que en teoría ayudaría a los contratantes a tomar una mejor decisión.
Pero este chatbot, desarrollado por la empresa Paradox.ai, ya había presentado algunos fallos de seguridad absurdamente básicos, lo que le permitió a los atacantes adivinar el usuario y contraseña tan solo introduciendo los números “123456”. Al acceder, los atacantes podían tener acceso a todas las conversaciones que el chat bot tuvo con las personas, incluyendo información personal.
Ian Carroll y Sam Curry, dos expertos independientes en seguridad informática a los que intrigó la decisión de McDonald’s de hacer un proceso de reclutamiento con un sistema asistido por IA, descubrieron que unas simples vulnerabilidades basadas en la web, entre ellas adivinar una contraseña ridículamente débil, les permitían acceder a una cuenta de Paradox.ai y consultar las bases de datos de la empresa donde se incluían 64 millones de registros con nombre, dirección, números de teléfono, entre otros datos.
Al cuestionar a la empresa desarrolladora sobre el tema, ellos señalaron que solo una parte de los registros a los que Carroll y Curry tuvieron acceso contenían información personal y que habían revisado que la cuenta con la contraseña “123456” no hubiera sido utilizada por otra persona además de los investigadores. McDonald’s, por su parte, reconoció que la culpa era de Paradox.ai y declararon que estaban muy decepcionados por la poca seguridad que este proveedor externo había tenido en el desarrollo.
Esto no es algo que le pase exclusivamente a empresas, para muestra está la reciente filtración y venta de datos de la plataforma trabajaen.gob.mx, una plataforma de reclutamiento para personas que buscaban una posición dentro del gobierno. En esa ocasión al menos 3937 credenciales de acceso a TrabajaEn fueron filtradas revelando información como el nombre completo, CURP, RFC, dirección, formas de contacto y documentos oficiales de la persona aspirante, pero también su historial laboral, de estudios, evaluaciones psicométricas, referencias e incluso las contrataciones previas.
Los investigadores afirmaron que la información expuesta en el caso de McDonald’s no contenía datos altamente sensibles, pero al tratarse de una base de datos con personas que buscaban obtener un empleo, podría haberse usado como una forma de phishing logrando estafar a cientos de aspirantes que se encuentran vulnerables ante la expectativa de una respuesta por parte de la empresa.
Imagen (CC BY) Gibrán Aquino
