Ricercatori di sicurezza sono riusciti ad accedere alla piattaforma HR McHire dell'azienda di fast food McDonald's utilizzando la password "123456". In questo modo, sono stati accessibili fino a 64 milioni di record di dati. McDonald's incolpa il fornitore di servizi a contratto. Tuttavia, se la due diligence fosse stata eseguita correttamente, la fuga di dati da McDonald's non sarebbe avvenuta. Cosa devono fare le aziende e come Ailance aiuta a evitare questi rischi.
Come è avvenuta la fuga di dati da McDonald's?
Negli Stati Uniti, McDonald's utilizza un chatbot AI chiamato Olivia per il processo di candidatura sulla sua piattaforma McHire.com. Tra le altre cose, Olivia raccoglie informazioni di contatto e CV e gestisce anche i test della personalità prima di invitare i candidati a colloqui diretti. Il portale HR è gestito dal fornitore di servizi Paradox.ai, che ha anche sviluppato Olivia.
I ricercatori di sicurezza hanno analizzato più da vicino il chatbot e il sito web McHire.com. In primo luogo, gli esperti di sicurezza hanno tentato di accedere a McHire.com come filiale McDonald's. Nel farlo, hanno scoperto la possibilità di accedere come dipendente Paradox. Come si è visto, si trattava di una grave vulnerabilità. Un accesso di amministrazione obsoleto era pubblicamente accessibile con la password "123456" (identica per nome utente e password) senza ulteriore autenticazione a due fattori. Utilizzando questo accesso, i ricercatori di sicurezza sono riusciti ad accedere a dati sensibili con poco sforzo. Dati del richiedente accesso. Tramite l'API è possibile accedere a un massimo di 64 milioni di record di dati.
La piattaforma elabora una serie di dati personali, tra cui
- Nome e cognome
- Numero di telefono
- Indirizzo e-mail
- Stato della domanda
- Risultati dell'analisi della personalità
- Cronologia completa delle chat con Olivia
- Eventuali allegati salvati (ad es. CV, certificati)
Anche se solo cinque record di dati reali sono stati effettivamente visualizzati e verificati dai ricercatori, il danno potenziale è stato enorme. Soprattutto per quanto riguarda possibili scenari di phishing o di furto di identità.
Paradox ha immediatamente chiuso la falla di sicurezza dopo che i ricercatori di sicurezza hanno informato l'azienda. In un post sul blog, Paradox spiega come si è arrivati alla fuga di dati da McDonald's: L'account "123456" era stato creato a scopo di test e avrebbe dovuto essere rimosso anni fa.
Suggerimento per il collegamento: Dichiarazione di Paradox sull'incidente di sicurezza di McHire.com
Perché monitorare i fornitori di servizi è essenziale: due diligence e monitoraggio
Lo dimostra la fuga di dati di McDonald's: L'uso dei sistemi di intelligenza artificiale nelle risorse umane è particolarmente critico. I dati delle candidature sono tra le informazioni più sensibili in assoluto. Se la sua protezione viene trascurata, anche la tecnologia più moderna non sarà d'aiuto. Soprattutto nel contesto dell'IA, la "privacy by design", in conformità all'art. 25 del Codice Civile, deve essere garantita. GDPR deve essere implementato, cioè Protezione dei dati attraverso la progettazione di tecnologie e impostazioni predefinite rispettose della protezione dei dati. Anche temi come la governance dell'IA, ad esempio attraverso la norma ISO/IEC 42001 o la legge europea sull'IA, sono sempre più al centro dell'attenzione.
Un sistema complesso come McHire con supporto AI e accesso API richiede un monitoraggio continuo, non solo una volta durante il processo di selezione. Persone responsabili deve quindi:
- Due diligence iniziale eseguire
Revisione degli standard di sicurezza, delle linee guida sulle password, dell'MFA e della governance IT generale. - Stabilire un monitoraggio regolare
Garantire ripetuti audit, ispezioni tecniche e controlli dei certificati. - Documentare le garanzie contrattuali e tecniche
Così che Persone responsabili non essere completamente impreparati ad affrontare incidenti di protezione dei dati come questo.
Come Ailance di 2B Advice aiuta a evitare questi rischi
Con Ailance - Integrated Risk Management, il monitoraggio e il controllo dei fornitori di servizi possono essere organizzati in modo sistematico, conforme alla legge e tracciabile:
- Due diligence digitale
Questionari strutturati, valutazione del rischio configurabile, liste di controllo della sicurezza - digitali, scalabili e conformi al GDPR. - Monitoraggio continuo
Revisioni, promemoria automatici, monitoraggio dei certificati e degli incidenti di sicurezza con meccanismi di allerta precoce. - Senza cuciture Documentazione
Tracce di audit e registrazione sistematica di tutti gli audit e le misure - ideale per l'audit interno e i controlli esterni. - Classificazione del rischio e escalation
I fornitori di servizi vengono automaticamente classificati in livelli di rischio. I casi critici, come quello qui descritto, porterebbero immediatamente all'escalation in Ailance, compresi i flussi di lavoro definiti.
Consigli pratici: Cosa potete fare immediatamente
Attivare l'autenticazione a più fattori per tutti gli account privilegiati.
Controllare regolarmente gli accessi API per individuare eventuali vulnerabilità (IDOR, problemi di autenticazione, ecc.).
Controllare i contratti con i fornitori di servizi di IA per verificare la presenza di requisiti di privacy-by-design.
Utilizzare Ailance per mappare la due diligence e il monitoraggio in modo strutturato.
Dopo la fuga di dati da McDonald's: l'intelligenza artificiale richiede più monitoraggio, non meno.
Il caso McHire con il chatbot Olivia chiarisce che l'AI può rendere i processi più efficienti, ma può anche avere un enorme potenziale di abuso. Le aziende che si affidano a strumenti moderni devono controllare attivamente e monitorare costantemente i loro fornitori di servizi.
Ailance da 2B Advice offre la piattaforma giusta per questo scopo. Con la giusta diligenza, si può evitare che una singola password debole metta a rischio milioni di dati sensibili.
Siete curiosi?
Lasciate che vi mostriamo come Ailance può professionalizzare il vostro monitoraggio dei fornitori di servizi. Fissate direttamente il vostro appuntamento dimostrativo personale.
German 
English 
Italian 
French