Faille de sécurité chez McDonald’s : 64 millions de candidats exposés

Olivia, le chatbot de recrutement

Le chatbot, nommé Olivia, prend en charge les candidatures en demandant aux postulants de fournir des informations de contact ainsi que leur CV. Ensuite, un test de personnalité est administré. Cependant, des chercheurs ont découvert que la méthodologie d’Olivia laissait à désirer, notamment en montrant des lacunes lors des demandes d’informations supplémentaires.

Un mot de passe trop simple

Ian Carroll et Sam Curry, deux hackers éthiques, ont mis en lumière une faille qui permettait d’accéder au mode administration de la plateforme McHire. En utilisant le mot de passe « 123456 », ils ont pu récupérer les données personnelles de millions de candidats, y compris leurs adresses e-mail, noms complets et numéros de téléphone.

« Je me suis dit que c’était plutôt unique et dystopien d’utiliser un chatbot dans un processus de recrutement. C’est ce qui m’a poussé à approfondir mes recherches », a commenté Ian Carroll.

Une vulnérabilité inacceptable

Bien que les données compromises n’aient pas été jugées extrêmement sensibles, l’accès à des conversations et à des informations personnelles représente un risque important, surtout pour une entreprise qui recrute à bas prix aux États-Unis. Paradox.ai, la société derrière Olivia, a confirmé l’intrusion et a reconnu l’utilisation d’un mot de passe faible. Cependant, aucune autre personne n’aurait eu accès aux données, sauf les hackers ayant détecté la faille.

McDonald’s a exprimé sa déception face à cette « vulnérabilité inacceptable » de son partenaire, soulignant qu’ils avaient demandé une correction immédiate, qui a été effectuée rapidement.

Impact en France

Il est important de noter que cette faille de sécurité ne concerne pas le recrutement en France, car McDonald’s n’utilise pas Olivia ni Paradox.ai sur le territoire français.