Het belang van de AVG en van security als het gaat om kandidaatgegevens? Dat hoef je niet meer uit te leggen, zou je zo zeggen. Toch gaat het zelfs bij de grootste bedrijven van de wereld nog wel eens goed mis. Mensen die solliciteren bij McDonald’s komen vroeg of laat bij Olivia terecht. Deze chatbot wist het fastfoodbedrijf eerst zo’n 2 miljard dollar per jaar te besparen, door kandidaten te screenen, hun gegevens op te vragen en door te verwijzen naar persoonlijkheidstests. Maar naar nu blijkt nam ze het daarbij niet zo nauw met de privacy: door een gigantische blunder waren al die kandidaatgegevens zó voor iedereen te vinden.
Bij de tweede poging om binnen te komen was het al raak.
Het begon toen security-onderzoekers/ethische hackers Ian Carroll en Sam Curry (what’s in a name) op McHire, het wervingsplatform van McDonald’s, een aparte inloglink vonden voor medewerkers van Paradox.ai, het bedrijf dat de chatbot gemaakt had. Op goed geluk probeerde Carroll daar maar eens in te loggen met twee simpele inlogcombinaties: admin als gebruikersnaam en wachtwoord, en daarna 123456 voor allebei. Die laatste cijfercode staat al jaren bovenaan het lijstje van meest gebruikte wachtwoorden. Toch was het voor Carroll bij die tweede poging raak, en kwam hij zo binnen.
Beheerders van een testrestaurant
Tot hun eigen verbazing waren beide onderzoekers zo in één klap beheerders geworden van een testrestaurant op het sollicitatieplatform. Ze konden er een testvacature bekijken, solliciteerden ook zelf via Olivia en zagen daarbij hun eigen gegevens meteen verschijnen in de backend van het systeem. Zo ontdekten ze onder meer dat elke sollicitatie een uniek ID-nummer kreeg. Toen ze dat nummer handmatig aanpasten, kregen ze inzage in sollicitaties van anderen. En zo lagen de naam, het e-mailadres, het telefoonnummer en het adres van 64 miljoen sollicitanten bij McDonald’s plots voor het grijpen, net als al hun gesprekken met Olivia.
‘Met deze gegevens hadden oplichters zich makkelijk kunnen voordoen als McDonald’s-recruiters.’
Een blunder van jewelste, vertelt Curry tegen Wired. Denk eens aan het phishing-risico. ‘Met deze gegevens hadden oplichters zich makkelijk kunnen voordoen als McDonald’s-recruiters om financiële informatie van kandidaten te vragen.’ McDonald’s en Paradox.ai hebben inmiddels overigens wel gereageerd en stellen dat ze op de hoogte zijn van het beveiligingslek en de nodige maatregelen hebben genomen. ‘We nemen deze zaak niet licht op, ook al werd het snel en effectief opgelost’, zei Stephanie King, hoofd juridische zaken van Paradox.ai, tegen Wired. ‘We nemen onze verantwoordelijkheid.’
Onzinnige reacties en misverstanden
Olivia mag dan trouwens een echte moneymaker zijn voor McDonald’s, ze wordt online al wel vaker belachelijk gemaakt door de meest simpele vragen vaak al verkeerd te begrijpen. Dat was in de eerste plaats ook de reden voor Carroll om haar op te zoeken, zegt hij tegen Wired. Curry en hij raakten geïnteresseerd in Olivia nadat hij een Reddit-bericht zag waarin werd geklaagd dat de chatbot van McDonald’s de tijd van sollicitanten verspilde met onzinnige reacties en misverstanden. ‘Ik vond het gewoon behoorlijk dystopisch vergeleken met een normaal sollicitatieproces, toch? Dat was wat me ertoe aanzette om me er verder in te verdiepen.’
‘Ik vond de chatbot gewoon behoorlijk dystopisch, vergeleken met een normaal sollicitatieproces.’
Eerst probeerden de hackers het nog met tests op zogeheten prompt injection-kwetsbaarheden, waarmee iemand een groot taalmodel kan kapen en de beveiliging ervan kan omzeilen door bepaalde commando’s te sturen. Maar zulke fouten bleken niet te vinden. Bij de inlogpagina voor Paraxox-medewerkers bleek dat dus anders te zijn, en ontbrak de multifactor-authenticatie die je hier wel zou verwachten. Zo kwamen ze ‘binnen’ in de testomgeving, en konden ze ook toegang krijgen tot de gegevens van alle sollicitanten vóór hen, een nummer dat op dat moment boven de 64 miljoen stond.