Una de las tecnologías más avanzadas que podemos encontrar actualmente es la inteligencia artificial, su irrupción en el mercado ha hecho que miles de empresas en todo el mundo la utilicen con diversos objetivos, en el caso de McDonald’s su función es recopilar los datos de aquellas personas que quieren solicitar un puesto de trabajo, pero una negligencia crítica de seguridad ha expuesto los datos personales de hasta 64 millones de solicitantes.
Dentro de todos los problemas que puede tener una aplicación o programa podemos encontrar que hay varios con una gravedad más alta que otros. Aquellos que se consideran extremadamente graves son los que permiten a un usuario externo al desarrollo o la organización que utiliza el software acceder directamente como si fuese un administrador. Existen técnicas para evitar los sistemas de seguridad que protegen una aplicación, pero la IA de McDonald’s ha caído en la vulnerabilidad más sencilla de corregir y que mayor peligro puede suponer para los datos de las personas que solicitan un puesto de trabajo, la compañía detrás del desarrollo de esta inteligencia artificial no cambió las credenciales básicas que tenía, algo que ha permitido a un grupo de hackers acceder a los datos de 64 millones de personas.
Un fallo básico: el usuario y contraseña de administrador eran ‘123456’
Seguramente muchas personas son conscientes de cómo la inteligencia artificial ha llegado para cambiar cómo funcionan las cosas, las capacidades que tiene son realmente buenas para ciertos tipos de trabajo pero al final es un tipo de software. Esto conlleva posibles fallos de seguridad que pueden terminar resultando realmente graves, sobre todo cuando la compañía detrás de su producción no comprueba bien los aspectos más básicos que hay. McHire es el chatbot que utiliza la famosa compañía McDonald’s para reclutar trabajadores en sus diversas franquicias, este asistente recoge los datos y cualificaciones de los candidatos para crear un perfil.
El problema fue destapado por Ian Carroll y Sam Curry, investigadores de ciberseguridad, quienes publicaron un detallado informe técnico sobre un fallo de seguridad crítico que según ha indicado la compañía detrás de McHire, Paradox.ai, ya está solucionado. Este error permitía a cualquier usuario que conociese las credenciales de inicio de sesión acceder a un portal que permitía descargar los datos de más de 64 millones de solicitantes para los puestos de trabajo en esta franquicia.
Pero lo más grave está en que las credenciales utilizadas para ello era una secuencia de números tanto para el nombre de usuario como para la contraseña, en este caso ambos eran 123456. Según han indicado, la combinación de las credenciales y una vulnerabilidad de referencia directa a objetos insegura (IDOR) les permitía acceder a los contactos y chats que quisieran. Para entenderlo de forma sencilla, un fallo de IDOR es como si una aplicación web te permite ver tu factura en la URL ejemplo.com/factura?id=100, pero si cambias manualmente ese número a ?id=101, el sistema te muestra la factura de otro cliente sin verificar si tienes permiso. Es un error de programación que no comprueba la autorización del usuario para acceder a un recurso específico.
Esto básicamente implica que tanto aquellas personas que pudiesen iniciar sesión en McHire así como a todas las personas con una cuenta en esta aplicación tenían acceso a cualquier bandeja de entrada que permitía acceder a los siguientes datos de los candidatos:
| Tipo de Dato Expuesto | Riesgo Asociado (YMYL) | Nivel de Riesgo |
|---|---|---|
| Nombre completo | Identificación personal | Alto |
| Correo electrónico | Phishing, Spam, Suplantación | Alto |
| Número de teléfono | Smishing (Phishing por SMS), Estafas telefónicas | Alto |
Según indicó McDonald’s en un comunicado a WIRED, la culpa de esto estaba en la compañía que desarrolló la inteligencia artificial:
«Estamos decepcionados por esta inaceptable vulnerabilidad de un proveedor externo, Paradox.ai. En cuanto tuvimos conocimiento del problema, ordenamos a Paradox.ai que lo corrigiera inmediatamente, y se resolvió el mismo día en que se nos informó de él.»
from Hard Zone : Hardware, Reviews, Noticias, Tutoriales, Foros de ayuda https://ift.tt/1NLZPeT
via IFTTT
No hay comentarios:
Publicar un comentario