Redazione RHC : 12 Luglio 2025 09:34
I noti esperti di sicurezza informatica e cacciatori di bug Sam Curry e Ian Carroll hanno scoperto che il chatbot Olivia, utilizzato da McDonald’s per assumere dipendenti, rivelava i dati dei candidati. In totale, il database conteneva oltre 64 milioni di record.
I ricercatori hanno iniziato a interessarsi a quanto stava accadendo dopo aver letto numerose lamentele da parte degli utenti di Reddit riguardo alle risposte “inadeguate” di Olivia. Olivia è un’applicazione di Paradox.ai, un’azienda che sviluppa software di intelligenza artificiale. Il bot viene utilizzato da McDonald’s per selezionare i candidati, richiedere le loro informazioni di contatto e i loro curriculum e indirizzarli ai test.
A volte l’intelligenza artificiale fraintende anche le domande più semplici, ed è per questo che è diventata “famosa” sui social media. “Ho pensato che fosse piuttosto unico e distopico rispetto al tipico processo di assunzione, quindi ho voluto approfondire l’argomento”, racconta Carroll. “Ho iniziato a candidarmi per un lavoro e nel giro di 30 minuti avevamo accesso completo a quasi tutte le candidature inviate a McDonald’s nel corso degli anni”.
Inizialmente, gli esperti volevano testare Olivia per verificarne la vulnerabilità alle iniezioni di prompt, ma non hanno trovato nulla di interessante. Hanno quindi deciso di verificare cosa sarebbe successo se si fossero registrati come affiliati McDonald’s, tentando di accedere al backend del sito. Invece, gli esperti hanno trovato un curioso link di accesso per i dipendenti di Paradox.ai su McHire.com.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Carroll scrive di aver provato inizialmente due delle combinazioni all’interno di una URL che presentava un bug IDOR (acronimo di Insecure Direct Object Reference, oggi Broken Access Control nella TOP10 Owasp): prima hanno provato “admin/admin” e poi “123456/123456”. La seconda di queste due combinazioni ha funzionato. “Questo è più comune di quanto si possa pensare”, osserva il ricercatore. “Si scopre anche che la pagina di login di Paradox.ai non supporta l’autenticazione a più fattori.”
Utilizzando queste credenziali, Carroll e Curry hanno ottenuto l’accesso amministrativo a un ristorante di prova McDonald’s su McHire e hanno scoperto che tutti i dipendenti lì elencati erano sviluppatori Paradox.ai provenienti dal Vietnam. Trovarono anche un link a presunte offerte di lavoro di prova per questo McDonald’s inesistente, cliccarono su una di queste, si candidarono e visualizzarono la propria candidatura nel sistema back-end, a cui ora avevano accesso. Poi Carroll e Curry hanno scoperto la seconda vulnerabilità critica in McHire. Dopo aver provato a modificare l’ID della loro candidatura (un numero che superava i 64 milioni), si resero conto che avrebbero potuto semplicemente ridurlo e ottenere l’accesso ai dati e alle informazioni di contatto di altri candidati (inclusi nomi, indirizzi email e numeri di telefono).
I ricercatori erano titubanti nel presentare una richiesta di accesso di massa ai registri, temendo violazioni della privacy e accuse di hacking. Tuttavia, hanno controllato diversi documenti d’identità e ottenuto dati reali da persone reali. Gli esperti osservano che le informazioni personali esposte a seguito di questi problemi non erano tra le più sensibili. Tuttavia, i rischi per i candidati erano aumentati dal fatto che i dati erano direttamente correlati a informazioni sul loro lavoro presso McDonald’s o sulla loro intenzione di lavorare lì.
“Se qualcuno dovesse usare questa cosa, i rischi di phishing sarebbero molto alti”, spiega Curry. “Non si tratta solo di informazioni personali e curriculum. Si tratta di informazioni su persone che cercano lavoro da McDonald’s o che ci lavorano, persone che attendono con ansia le email. Ad esempio, se si cercasse di mettere in atto una sorta di frode sulle buste paga, questa sarebbe un’ottima opzione”.
I rappresentanti di Paradox.ai hanno pubblicato una dichiarazione ufficiale sul loro blog, affermando che l’account di prova con la password “123456” a cui gli esperti hanno avuto accesso non era stato utilizzato dal 2019 e avrebbe dovuto essere disattivato molto tempo fa. Si sottolinea che nessuno, a parte Curry e Carroll, ha sfruttato questa vulnerabilità e non ha ottenuto l’accesso ai dati dei candidati. I ricercatori hanno inoltre avuto accesso solo a sette record, cinque dei quali contenevano effettivamente informazioni personali di persone che interagivano con il sito di McHire.
L’azienda ha aggiunto che lancerà un programma bug bounty per identificare meglio le vulnerabilità nei suoi sistemi in futuro. A loro volta, i rappresentanti di McDonald’s hanno dichiarato a Wired che la colpa di quanto accaduto ricade interamente su Paradox.ai.
L’intelligenza artificiale sta diventando sempre più un assistente per i programmatori, ma uno studio di Veracode ha dimostrato che la praticità comporta un rischio per la sicurezza. ...
Un annuncio apparso su un forum online, datato 26 luglio 2025, ha catturato la nostra attenzione: un utente di nome “Bucad” pubblicizza la vendita di un “iOS RCE Exploit 0day | Ze...
In relazione al nostro precedente articolo relativo ai bug di sicurezza rilevati sui dispositivi Lovesense (azienda leader leader nel settore dei dispositivi tecnologici per l’intimità), l...
“Ho bisogno di un sistema per gestire gli eventi della mia chiesa: volontari, iscrizioni, organizzazione degli eventi per la comunità”. Due settimane dopo aver scritto questo prompt...
Un utente con il nickname Tsar0Byte ha pubblicato su DarkForums, uno dei forum underground più noti nell’ambiente cybercrime, un annuncio scioccante: la presunta compromissione di dati sen...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006