McDonald’s heeft een AI-chatbot in ‘dienst’ genomen, maar waarschijnlijk wil het die weer ontslaan. Ze heet Olivia en op zich was ze heel handig in het helpen van mensen die bij het fastfoodconcern wilden solliciteren. Echter, ze draait op de software van Paradox.ai en dat heeft zijn beveiliging zodanig niet op orde, dat de persoonlijke informatie van sollicitanten kinderlijk eenvoudig te hacken was.
De AI-chatbot wordt ingezet als eerste screening van sollicitanten en vraagt dus onder andere naar hun contactgegevens en curriculum vitae. Dat platform waarop Paradox.ai is gebouwd heeft echter gefaald. Elke hacker kon lange tijd gewoon de gebruikersnaam van een admin raden en het wachtwoord 123456 gebruiken om toegang te krijgen tot alle gesprekken die Olivia tot dan toe had gehad. En dus ook toegang krijgen tot alle gegevens van sollicitanten. De situatie is extra gevoelig, omdat er door sommige mensen wordt neergekeken op een baantje bij de Mac. Onterecht natuurlijk, maar het is een lagelonenbaan en daar kleeft dit imago helaas aan.
Het was kinderlijk eenvoudig om te hacken op McHire.com, de ‘werkenbij’-website van McDonalds. Security-experts Ian Carroll en Sam Curry schrokken ervan. Ze konden bij 64 miljoen records komen en de namen zien van sollicitanten, plus email-adressen en hun telefoonnummers. Carroll zegt daarnaast dat het vreemd is dat McDonald’s ervoor kiest om zo’n AI-screener te laten uitvoeren. Bovendien laat de AI-bot mensen ook nog een persoonlijkheidstest doen. “Een beetje dystopisch voor gewoon een sollicitatieprocedure, toch?” Stelt hij.
Hij vond het zo gek, dat hij dacht: ik ga ook eens solliciteren bij de Mc. Hij diende zijn sollicitatie in en was een half uur later in elke sollicitant gedoken. Het gaat zelfs om gegevens van mensen van jaren terug. Paradox stelt dat Carroll en Curry maar een fractie van de gegevens kan inzien. Wel zegt het dat het admin-wachtwoord inderdaad 123456 is, maar dat het niet door een derde was bereikt. Wel heeft Paradox in de gaten dat zijn praktijken niet in de haak zijn: het belooft met een bug bounty-programma te komen waarmee security-experts hun vondsten kunnen delen in ruil voor een beloning. Het ‘lek’ is inmiddels gedicht. Of Curry en Carroll ook iets krijgen in ruil voor deze bewezen dienst, dat is nog onbekend.
McDonald’s zegt tegen Wired: “We zijn teleurgesteld over deze onaanvaardbare kwetsbaarheid van een externe leverancier, Paradox.ai. Zodra we op de hoogte waren van het probleem, hebben we Paradox.ai opgedragen het probleem onmiddellijk te verhelpen, en het werd opgelost op dezelfde dag dat het aan ons werd gemeld. We nemen onze verantwoordelijkheid op het gebied van cyberbeveiliging serieus en zullen onze externe leveranciers verantwoordelijk blijven houden voor het voldoen aan onze normen voor gegevensbescherming.”
