JagoSatu.com - Siap-siap kaget, karena bot perekrutan AI McDonald's, si 'Olivia' buatan Paradox.ai, rupanya baru saja membocorkan data pribadi puluhan juta pelamar kerja! Caranya? Lewat celah keamanan super mendasar, salah satunya kata sandi admin yang isinya cuma '123456'. Ini bukan lelucon. Jelas ini kelalaian yang sangat mengejutkan, apalagi menyangkut data lamaran kerja yang sensitif.
Peneliti keamanan Ian Carroll dan Sam Curry menemukan kerentanan simpel ini di McHire.com. Mereka berhasil mengakses basis data backend Paradox.ai, yang otomatis membuka akses ke hampir semua obrolan Olivia dengan pelamar McDonald's. Data ini mencakup nama, alamat email, dan nomor telepon untuk sekitar 64 juta data, seperti laporan WIRED. Ini mimpi buruk keamanan yang sebenarnya bisa dengan mudah dicegah, bahkan dengan sedikit praktik keamanan siber dasar.
Carroll awalnya cuma penasaran dengan penggunaan chatbot AI untuk perekrutan di McDonald's, ia merasa prosesnya 'sangat distopia'. Hanya dalam 30 menit penyelidikan, ia mengklaim bisa 'akses penuh ke hampir setiap aplikasi yang pernah diajukan ke McDonald's selama bertahun-tahun.' Ini jadi poin penting: kalau perusahaan sebesar ini keamanannya serapuh ini, bagaimana nasib perusahaan-perusahaan kecil yang terburu-buru mengadopsi AI?
Paradox.ai sendiri sudah mengkonfirmasi temuan ini, meski mengklaim 'sebagian kecil' data saja yang berisi info pribadi. Mereka juga menyatakan akun '123456' 'tidak diakses pihak ketiga mana pun' selain peneliti, seperti dikutip WIRED. McDonald's, seperti yang bisa ditebak, langsung menyalahkan Paradox.ai. Kedua perusahaan buru-buru bilang masalah 'diselesaikan dengan cepat' dan janji program bug bounty. Tapi, 'diselesaikan cepat' itu tidak menghapus kegagalan awal yang mencolok ini. Ini bukan bug kecil; ini pelanggaran kepercayaan yang fundamental.
Data yang terekspos ini berpotensi memicu risiko phishing masif, di mana penipu bisa menyamar sebagai perekrut. Mereka bisa mengelabui pencari kerja untuk membocorkan informasi keuangan. Carroll dan Curry menyoroti risiko lebih tinggi bagi mereka yang 'bersemangat dan menunggu balasan email'. Jadi, ini bukan cuma soal privasi data; ini tentang melindungi pelamar kerja yang rentan dari potensi penipuan. Perusahaan harusnya bisa jauh, jauh lebih baik dari sekadar '123456'!
Gimana menurut kalian, seberapa parah sih kelalaian keamanan yang melibatkan password '123456' ini? (tmtiwow)
Editor : Toar Rotulung