Un simple error que va exposar milions de dades de candidats

El passat 30 de juny de 2025, investigadors de ciberseguretat Ian Carroll i Sam Curry descobreix una greu vulnerabilitat en “Olivia”, el chatbot de contractació de McDonald's, desenvolupat per Paradox.ai i allotjat a Mchire.com.

Només amb això dos intents d'inici de sessió utilitzant credencials comuns (usuari “admin” i contrasenya “123456”), va obtenir accés d'administrador en menys de 30 minuts, exposant dades de sol·licituds de treball de fins a 64 milions de persones.

Quina informació es va filtrar?

  • El problema era Resolta el mateix dia
  • Noms complets
  • Correus electrònics
  • Números de telèfon
  • Historial de xats entre els candidats i l'assistent d'IA

Aquest defecte va permetre als atacants buscar identificadors de candidats i recuperar converses senceres, comprometent la seva privacitat i seguretat.

Qui és el responsable?

La font de la vulnerabilitat estava en Paradox.ai, el proveïdor de chatbot. McDonald's va emetre un comunicat qualificant l'incident “inacceptable” i va dir que:

  • El problema era Resolta el mateix dia
  • Paradox.ai va implementar un Programa Bug Bounty Per evitar fallades similars en el futur.

Per què és tan greu aquest incident

  1. Exposició al phishing: Les dades filtrades es poden utilitzar en campanyes de suplantació de reclutadors per enganyar els candidats i robar més informació o diners.
  2. Riscos en sistemes d'IA: Mostra la manca de controls bàsics de seguretat en les eines de contractació automatitzades.
  3. Possibles sancions reguladores: La gestió de milions de registres implica un compliment estricte de normatives com GDPR o CCPA, i aquesta filtració podria obrir investigacions.

Lliçons per a empreses i candidats

🔐Per a organitzacions

  1. Implementar MFA en tots els accessos d'administració i VPN
  2. Realitzar auditories regulars de credencials i esborrar comptes inactius
  3. Simular atacs utilitzant Prova de penetració led d'amenaça (TLPT) descobrir defectes davant els ciberdelinqüents
  4. Desplegar Programes de Bug Bounty per a solucions basades en IA
  5. Requereixen SLA de ciberseguretat de tercers, incloent revisions de codi i proves d'intrusió

🧑💻 Per a candidats

  1. Desconfieu de missatges dels reclutadors demanant pagaments o dades sensibles
  2. Utilitzeu diferents correus electrònics per a sol·licituds de feina
  3. Habilitar autenticació de dos factors en els seus comptes de correu electrònic i ocupació
  4. Comproveu sempre el domini i el remitent dels correus electrònics rebuts
  5. Denunciar qualsevol intent d'estafa o suplantació

Com us pot ajudar Apolo Cybersecurity?

En Apolo Cybersecurity Ajudem a la teva organització a:

  • Realitzar TLPT específic per a entorns amb IA i chatbots
  • Dissenyar arquitectures Confiança zero i gestió segura de credencials
  • Implementar un SOC 24/7 per a la detecció proactiva D'amenaces
  • Enfortir el Gestió de riscos de tercers i contractes de proveïdors

Sol·liciteu el vostre pla gratuït d'auditoria i resiliència avui

Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Gestionar la seva sol·licitud i respondre al seu missatge.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa a la nostra Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer de Sant Joan de la Salle 42, Barcelona, Espanya
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookies
Copyright © 2025 Apollo Cybersecurity