McDonald’s siendo una empresa grande a nivel mundial optó por tratar de automatizar varias de las operaciones que poseen, una de las inversiones que hicieron fue apostar por un chatbot para agilizar así el proceso de contratación de personal.
Para poder cumplir con esto de manera eficiente McDonald’s contrató a una empresa estadounidense especializada en soluciones de IA para recursos humanos, el producto en cuestión es un asistente virtual de contratación, se encarga de recopilar información, responder preguntas, programar entrevistas entre otras tareas.
¿Qué sucedió?
Investigadores encontraron que los datos recolectados por el chatbot estaban almacenados en una base de datos de Mongo DB expuestas y sin protección adecuada.
Lo más alarmante de todo el incidente es que la contraseña para ingresar a los datos era increíblemente sencilla, la contraseña utilizada era: 123456. Esto es sumamente crítico ya que cualquier persona con un conocimiento bastante básico sobre bases de datos e IP pudo haber accedido a la información.
La base de datos contenía información de millones de solicitantes de empleo según lo que se sabe la cifra seria 64 millones de registros, aunque el número podría llegar a variar.
¿Qué tipos de datos fueron expuestos?
- Nombres completos
- Direcciones de correo electrónico
- Números de teléfono
- Historial de solicitudes de empleo
- Respuestas a preguntas de selección (aunque no se especifica si eran preguntas muy personales, cualquier información relacionada con el empleo es sensible).
¿Cuál es la raíz del problema?
La falta de una contraseña robusta para proteger la base de datos es uno de los errores más importantes de todo el incidente, a pesar de que se utiliza una base de datos crítica pudieron haber eludido parte del problema con una contraseña compleja y única, como autenticación multifactorial u otros tipos de mecanismos de seguridad.
Dejando de lado la contraseña débil, la base de datos no debería haber sido accesible desde internet sin restricciones de IP o firewalls adecuados. Esto sugiere una mala gestión por parte del grupo de infraestructura.
Recomendaciones
- Configuraciones seguras por defecto: Asegúrate de que todos los sistemas, bases de datos y servicios en la nube vengan con las configuraciones de seguridad más estrictas habilitadas por defecto, en lugar de depender de configuraciones manuales posteriores.
- Contraseñas complejas y únicas: Exige y haz cumplir el uso de contraseñas largas, complejas y únicas para todas las cuentas, especialmente aquellas con acceso a datos sensibles o a la administración de sistemas.
- Autenticación Multifactorial (MFA): Implementa MFA para todos los accesos administrativos y para cualquier cuenta que maneje datos críticos. Esto añade una capa de seguridad crucial, requiriendo una segunda verificación (ej. código del móvil) además de la contraseña.
- No expongas bases de datos a internet: Por defecto, las bases de datos no deberían ser accesibles directamente desde la web pública. Utiliza firewalls, VPNs y listas de control de acceso (ACLs) para restringir el acceso solo a direcciones IP autorizadas.
