McDonald’s, falle di sicurezza clamorose nel chatbot AI per le assunzioni: esposti i dati di 64 milioni di candidati

Un banale nome utente e la password “123456” è bastato a due ricercatori di sicurezza informatica per accedere al cuore del sistema di intelligenza artificiale usato da McDonald’s negli Stati Uniti per selezionare il personale. I dati personali di decine di milioni di candidati sono quindi potenzialmente accessibili a chiunque, inclusi nomi, contatti, chat private e test della personalità. L’allarme è stato lanciato mercoledì 9 luglio da Ian Carroll e Sam Curry, due esperti del settore che hanno indagato sul portale McHire.com, sviluppato dalla società Paradox.ai per conto della catena. Il sistema si affida a Olivia, un chatbot AI che accoglie gli aspiranti dipendenti, pone domande, riceve curriculum e indirizza verso test psicometrici.

Powered by

Ma dietro l’apparenza di efficienza digitale si nascondeva una voragine nella sicurezza: una configurazione che, secondo i ricercatori, consentiva l’accesso diretto al backend del sistema. “Dopo appena mezz’ora avevamo accesso a praticamente ogni candidatura presentata a McDonald’s negli ultimi anni”, ha dichiarato Carroll, spiegando che la curiosità è nata proprio dall’inquietudine per un sistema automatizzato così invasivo nel selezionare lavoratori per un fast food. Secondo le analisi di Carroll e Curry, il database violabile conteneva circa 64 milioni di voci, molte delle quali associate a dati personali come indirizzi email, numeri di telefono e trascrizioni delle conversazioni con il chatbot.

Contattata da Wired US, Paradox ha confermato la vulnerabilità, sostenendo però che nessun accesso esterno si sia verificato. “Solo una parte dei record conteneva dati personali”, ha spiegato la responsabile legale Stephanie King, annunciando l’avvio di un programma di bug bounty per evitare simili incidenti in futuro. “Non prendiamo la questione alla leggera”, ha aggiunto. McDonald’s ha comunque preso le distanze dalla vicenda, scaricando ogni responsabilità su Paradox.ai e dichiarandosi deluso da questa vulnerabilità causata da un fornitore terzo.

Addio ai limiti dell’IA: GPT-5 di OpenAI promette di cambiare tutto entro la fine del 2025

Jerry Tworek, vicepresidente di OpenAI, ha sottolineato che uno degli obiettivi principali è migliorare l’esperienza dell’utente

L’episodio getta una luce inquietante sull’uso crescente dell’intelligenza artificiale nei processi di selezione del personale, soprattutto in settori dove la velocità e la quantità prevalgono sulla cura e sulla sicurezza. Olivia, il chatbot tanto vantato da McDonald’s come segno di modernità, si è rivelata una debolezza strutturale nel sistema di tutela dei dati.