O emprego da IA (Inteligência Artificial) virou uma febre para diversas organizações, com a geração de demandas para automação redução de custos, melhoria nos processos e também ações do que se falava outra de “Transformação Digital”.
Cidadãos que procuravam emprego e se inscreviam no sistema de vagas por meio do um ChatBOT, denominado Olivia, continha uma armadilha: os dados candidatos e inseridos na resposta do BOT poderiam ser acessados por um desconhecido/terceiro!
A IA possuía uma grande falha ao qual um agente malicioso poderia acessar os registros de todos, baseando-se no histórico do Chat (bate-papo com a IA), com a “Olivia” analista de RH Virtual do McDonald’s, armazenando as informações pessoais no banco de dados.
Os pesquisadores de segurança Ian Carroll e Sam Curry, avaliaram a falha que gerava acesso / login de administrador padrão e uma referência direta a objeto (IDOR) insegura em uma API (Application Program Interface) interna que permitia acesso aos históricos das conversas. Os testes descobriram que vulnerabilidades no sistema Web, incluindo a tentativa de teste de senha, a mesma já destacada que permitiram que eles acessassem uma conta da Paradox.ai, por conseguinte, as consultas aos bancos de dados da empresa, isto é, aparentemente pode-se estimar e seriam 64 milhões de registros, incluindo nomes, endereços de e-mail e números de telefone dos candidatos. Por fim, os testes indicaram que senha padrão é o numeral de 1 a 6, ou seja: “123456”, proporcionando acesso administrador aos dados!
O Incidente
A falha foi atribuída a uma senha distribuída no servidor de produção, vinculado a uma ferramenta de recrutamento baseada em IA. Essa senha dava acesso a um banco de dados em um serviço em nuvem.
Especialistas do grupo SecurityDiscovery e do pesquisador Bob Diachenko encontraram o banco de dados exposto ao conduzir buscas por endpoints inseguros. A autenticação era inexistente: o acesso ao painel administrativo exigia apenas “admin” e a senha “123456”. Com acesso administrador, o agente malicioso poderia extrair: Currículos completos, Contatos pessoais, Histórico profissional, Avaliações automatizadas da IA, Feedbacks de entrevistas Natureza dos Dados Vazados etc.
Consequências e Reflexões
Apesar do evento ser dado como um erro humano, nota-se que a ausência de políticas de segurança indica falha organizacional, assim como avaliação de vulnerabilidade, testes de invasão, controle de auditoria de acesso, emprego do SIEM, auditorias de acesso, política de senhas, gestão de riscos, revisão de configuração de infraestrutura, impacto a reputacional, aplicação responsabilidades Legais e Implicações com a LGPD e GDPR.
No caso do Brasil, temos possíveis penalidades LGPD, com multa de até 2% do faturamento anual (limitado a R$ 50 milhões), sem contar a notificação dos usuários afetados, danos a imagem, danos morais e materiais e riscos aos candidatos.
Os candidatos ou vítimas enfrentam diversos riscos, como: Roubo de identidade, Fraudes bancárias e empréstimos em nome de terceiros Ataques de phishing dirigidos Manipulação de reputação profissional O vazamento também compromete dados sensíveis que podem impactar decisões futuras de emprego.
O cenário contemporâneo baseia-se em confiança, sendo o ocorrido uma mancha no emprego de novas tecnologias, com a empresa contratada podendo perder diversos contratos, com a implicação de não reversão do dano. Fato que nos traz a reflexão de diversas startups que utilizam novas tecnologias, com ausência, maturidade e capacidade para empregar novos modelos tecnológicos, consequentemente correndo riscos desnecessários e imputando aos seus sócios investidores um ônus desnecessário.
