Cyber sicurezza: una password efficace è la prima regola, ma in troppo ancora la ignorano
Sembra incredibile che nel 2025 ancora siano utilizzate password deboli, anzi debolissime, come “123456”, e ancora più incredibile è che a farlo sia stata una piattaforma di intelligenza artificiale utilizzata per l’assunzione di dipendenti di una nota multinazionale.
L’azienda in questione è McDonald’s e la piattaforma incriminata si chiama McHire, sviluppata dalla compagnia di intelligenza artificiale Paradox.ai e che è stata utilizzata per l’invio di candidature per lavorare nel franchising statunitense.
La notizia è che per accedere, al fine di candidarsi, pare fosse sufficiente inserire come username e password le credenziali “123456”.
A scoprire che i dati di 64 milioni di persone erano facilmente accessibili a chiunque sono stati due ricercatori, Ian Carrol e Sam Curry.
Carroll racconta di essersi accorto dell’esistenza di questa inquietante falla perché incuriosito dalla decisione di McDonald’s di sottoporre i candidati alla valutazione di un chatbot AI e a un test della personalità.
«Ho pensato – ha detto – che rispetto a un normale processo di assunzione fosse una scelta piuttosto distopica. Ed è questo che mi ha fatto venire voglia di approfondire la questione. Così ho iniziato a fare domanda per un lavoro e dopo 30 minuti ho avuto accesso a praticamente ogni candidatura presentata a McDonald’s in anni e anni».
Sebbene l’accesso portava a un pannello con i dati dei dipendenti di Paradox.ai per un ristorante “di prova” e dunque non reale, i ricercatori sono riusciti a visualizzare le conversazioni del chatbot avvenute con altri candidati.
Da qui è stato poi possibile individuare un’ulteriore falla, attraverso un’API (Application Programming Interface, ovvero un protocollo che permette a due servizi informatici diversi di comunicare tra loro), che ha permesso ai due studiosi di scoprire anche i dati non criptati dei vari candidati: nome, cognome, numero di telefono, indirizzo di residenza, e-mail, e così via.
Dati personali e sensibili moltiplicati per 64 milioni, tutti coloro che avevano avuto accesso alla piattaforma. Un bottino molto ricco e molto facile da vincere per i malintenzionati di turno.
Il problema è stato subito segnalato a McDonald’s e a Paradox.ai, nel giorno stesso in cui è stata fatta la scoperta, lo scorso 30 giugno. Nel giro di poco le credenziali “123456” sono state eliminate e il 7 luglio tutti i problemi, secondo quanto affermato dalla compagnia di AI, sono stati risolti.
In una nota a Wired McDonald’s ha affermato: «Siamo delusi da questa inaccettabile vulnerabilità da parte di un fornitore terzo, Paradox.ai. Non appena ne siamo venuti a conoscenza, abbiamo incaricato l’azienda di porvi rimedio immediatamente e il problema è stato risolto lo stesso giorno in cui ci è stato segnalato».
Paradox.ai, da parte sua, ha cercato di minimizzare i danni, pur non nascondendo le proprie responsabilità.
Secondo le indagini interne dell’azienda, il pannello di prova da cui è stato effettuato l’accesso da parte dei due ricercatori non veniva usato dal 2019 e sì, avrebbe dovuto essere disattivato, ma nessuno, oltre ai ricercatori, l’aveva mai utilizzato. In seguito a quanto accaduto è stato anche avviato un programma di bug bounty, ovvero un’iniziativa che premia economicamente i ricercatori come Carroll e Curry che individuano falle di sicurezza per poi condividerle con l’azienda stessa.
Ma questo di McDonald è solo l’ultimo di una serie di casi simili.
Da ricordare, ad esempio, tra i più eclatanti, quello del Dipartimento degli Interni degli Usa, dove, nel 2023, a seguito di un’indagine interna è stato scoperto che la password più utilizzata dagli Uffici era “Password-1234”, cosa che ha consentito di violare in soli 90 minuti gli account di 14 mila dipendenti.
Oppure l’atto dimostrativo, risalente ad alcuni anni fa, che in soli 10 minuti ha permesso di hackerare una petroliera in navigazione nel Mar Adriatico che proteggeva i suoi sistemi con la password “1234”.
L’elenco potrebbe continuare, ma questi pochi esempi sono sufficienti per ribadire che, nonostante tutte le campagne in tema di cyber sicurezza, c’è ancora molta inconsapevolezza e superficialità, a livello globale, nella modalità di usare la rete. E la responsabilità, alla fine, ricade sempre sul fattore umano che, spesso per superficialità, sottovaluta i principi base di protezione.
Nei casi elencati in questo articolo, parliamo della prima regola di sicurezza: scegliere una password efficace e modificarla spesso. Non rispettare questa regola evidenzia non solo superficialità ma anche una scarsa, per non dire scarsissima, consapevolezza dei rischi della Rete, dunque una postura digitale non certo adeguata ai tempi in cui viviamo.
Oggi infatti le tecniche di difesa devono passare, oltre che attraverso la tecnologia, anche per lo sviluppo di una vera e propria cultura della cybersecurity che deve diventare parte integrante delle nostre vite, private e lavorative.
Insomma, la corretta postura digitale dovrebbe sempre di più trasformarsi in un elemento insito in ogni individuo, acquisito sin dalla giovane età.
Per questo sarebbe importante insegnarla nelle scuole e magari ci arriveremo in un futuro non troppo lontano. Nel frattempo, visto che non ci si può più permettere di perdere colpi e di rimanere indietro rispetto a una tecnologia che corre veloce, è necessario seguire percorsi formativi di eccellenza, continuamente aggiornati sulle ultime novità del crimine e che prevedano esercitazioni pratiche e training personalizzati.
Considerato che il fattore umano rimane quello più vulnerabile, la formazione, quella giusta però, resta l’unica strada da seguire per proteggersi, sia nella vita privata sia in quella professionale.
