Un'immagine d'impatto che mostra un'enorme porta di caveau lasciata spalancata con "123456" visualizzato sulla serratura, rivelando all'interno file di profili con sagome umane — specifica per il tema di una sicurezza catastroficamente debole a guardia di dati profondamente personali su vasta scala.
Artificial IntelligenceCybersecurityTechnology

64 milioni di persone hanno cercato lavoro. Una password "123456" ha svelato i loro segreti.

Ashutosh SinghalAshutosh Singhal19 marzo 202615 min

Ero in chiamata con un potenziale cliente — una società di logistica di medie dimensioni — quando è scoppiata la vicenda McHire. Il mio co-fondatore mi ha inviato un link a metà frase. Gli ho dato un'occhiata, ho letto le prime due righe e sono rimasto completamente in silenzio. Il cliente mi ha chiesto se ero ancora in linea.

"Scusa," ho detto. "Ho appena letto che la piattaforma di assunzione basata sull'IA di McDonald's — quella che seleziona milioni di candidati — era protetta dalla password '123456.' E qualcuno è appena entrato."

C'è stata una lunga pausa. Poi il cliente ha detto: "È praticamente la nostra configurazione."

Scherzava a metà. Ma solo a metà.

La violazione di McHire del giugno 2025 ha esposto i dati personali di circa 64 milioni di persone in cerca di lavoro — nomi, email, numeri di telefono, indirizzi IP, trascrizioni di chat con una recruiter IA di nome "Olivia" e, cosa ancora più inquietante, i risultati dei loro test della personalità. Il vettore non è stato un sofisticato attacco di uno stato-nazione. Non è stato un exploit zero-day che richiedeva una squadra di hacker d'élite. È stata una password amministratore predefinita rimasta invariata dal 2019, su un account senza autenticazione a più fattori, a guardia di un'API che permetteva a chiunque di scorrere gli ID dei candidati nella barra degli indirizzi di un browser.

Quando spiego alla gente cosa facciamo in Veriprajna — costruire sistemi di IA con la sicurezza e la governance integrate nell'architettura — a volte ricevo quel cenno cortese che significa "certo, ma non è un'esagerazione?" La violazione di McHire è la mia risposta. Non è un'esagerazione. È il minimo indispensabile. E la maggior parte delle aziende non fa nemmeno quello.

Cosa è successo davvero all'interno della piattaforma McHire?

Un diagramma passo dopo passo che mostra l'esatta catena d'attacco — dalle credenziali predefinite allo sfruttamento IDOR fino all'accesso massivo ai dati — rendendo immediatamente chiara la sequenza tecnica.

La violazione non è stata scoperta da un team di threat intelligence o da un'agenzia governativa. È iniziata con due ricercatori di sicurezza — Ian Carroll e Sam Curry — che hanno notato qualcosa di banale: gli utenti si lamentavano che il chatbot "Olivia" fosse pieno di bug. L'esperienza front-end era goffa e inaffidabile.

Quel dettaglio è importante. Nella mia esperienza, un front-end mal funzionante è quasi sempre un segnale. Se un'azienda non ha investito nella parte che gli utenti vedono, immaginate cosa sta succedendo nelle parti che non vedono.

Carroll e Curry hanno iniziato a curiosare e hanno trovato un portale di gestione destinato ai dipendenti di Paradox.ai — il fornitore che ha costruito e gestito McHire per conto di McDonald's. Hanno provato un account di test. Il nome utente? "123456." La password? "123456." Ha funzionato.

Ricordo di aver letto quella cosa e di aver provato un tipo particolare di rabbia che chiunque abbia mai costruito sistemi in produzione riconoscerà. Non è sorpresa — è la furia di sapere che tutto ciò era del tutto prevenibile. Non era una configurazione errata sottile in un cluster Kubernetes. Era l'equivalente digitale di lasciare la porta del caveau aperta con un Post-it che dice "chiave sotto lo zerbino."

Ma la password era solo la prima fase. Una volta dentro, i ricercatori hanno scoperto una vulnerabilità di tipo Insecure Direct Object Reference — un IDOR, in gergo di sicurezza. Ciò significava che l'API non verificava se un utente autenticato fosse effettivamente autorizzato a vedere i dati di uno specifico candidato. Cambiando il numero identificativo del candidato nell'URL — semplicemente incrementando un numero — potevano recuperare i record completi di qualsiasi candidato nel sistema.

Sessantaquattro milioni di essi.

Perché i dati dei test della personalità sono il peggior tipo di dato che si possa far trapelare

Ecco dove la maggior parte della copertura mediatica di questa violazione sbaglia. I titoli si sono concentrati sulla password — "123456," ah ah, che stupidaggine — e sono andati oltre. Ma la vera catastrofe non è la credenziale. È ciò che c'era dietro di essa.

I numeri di carta di credito possono essere annullati. Le password possono essere cambiate. Ma i risultati di una valutazione della personalità? I punteggi di uno screening comportamentale? Le trascrizioni di una conversazione in cui un'IA ha sondato il tuo temperamento, le tue reazioni emotive, il tuo modo di gestire i conflitti?

Quei dati sei tu. Non scadono.

Quando un profilo di personalità trapela, non puoi ruotarlo come una password. La tua impronta psicometrica ti segue per sempre.

Ho passato una nottata dopo la violazione a leggere ricerche sull'impatto psicologico dell'esposizione dei dati. I numeri sono sconcertanti: quasi il 70% delle vittime di violazioni riferisce una persistente incapacità di fidarsi degli altri. Due terzi vivono un profondo senso di impotenza. Diversi studi hanno collegato l'esposizione dei dati personali ad ansia, depressione e disturbo da stress post-traumatico. E la gravità è proporzionale all'intimità dei dati — un indirizzo email trapelato brucia; una valutazione della personalità trapelata che dice che sei "emotivamente instabile" o "poco coscienzioso" può sembrare una dissezione pubblica.

Per chi cerca lavoro — molti dei quali giovani, molti che si candidano per il primo impiego in una catena di fast food — questo è particolarmente crudele. Si sono sottoposti a un test della personalità perché un'IA glielo ha detto. Non avevano alcun modo concreto di capire quali dati venissero raccolti, come venissero conservati o chi potesse accedervi. E ora quei dati sono là fuori, potenzialmente per sempre, in un mondo in cui futuri datori di lavoro, assicuratori o malintenzionati potrebbero usare tratti dedotti contro di loro.

Il mio team ha avuto una discussione su questo. Uno dei nostri ingegneri ha detto: "Guarda, i dati sono stati esposti ma probabilmente non effettivamente esfiltrati su larga scala — i ricercatori hanno segnalato la cosa in modo responsabile." E tecnicamente è vero. Paradox ha corretto la vulnerabilità entro poche ore dalla notifica. Ma ho ribattuto con forza. Il punto non è se questo specifico set di dati sia finito su un forum del dark web. Il punto è che l'architettura lo ha permesso. Il sistema era progettato in modo tale che una password predefinita e un browser fossero sufficienti per accedere ai profili psicometrici di 64 milioni di persone. Non è un incidente sfiorato. È un fallimento della filosofia di progettazione.

Lo sviluppatore in Vietnam e la password che ha sbloccato tutto

C'è una trama secondaria in questa storia che non ha ricevuto abbastanza attenzione. Le indagini hanno rivelato che uno sviluppatore di Paradox.ai con sede in Vietnam era stato compromesso da un ceppo di malware chiamato Nexus Stealer — uno strumento di furto di credenziali venduto sui forum del cybercrimine. L'infezione ha esfiltrato centinaia di password dal dispositivo dello sviluppatore. Molte di esse erano deboli e riciclate, usando la stessa password base di sette cifre su più servizi.

Quel singolo sviluppatore compromesso ha esposto credenziali associate ad account Paradox.ai per clienti tra cui Pepsi, Lockheed Martin, Lowe's e Aramark.

Voglio che vi soffermiate un momento su questo. Una persona. Un laptop infetto. Una password riutilizzata. E all'improvviso i dati di assunzione di alcuni dei più grandi datori di lavoro d'America sono a rischio.

Questo è ciò che chiamo il problema del "nodo umano", ed è la cosa che mi tiene sveglio la notte molto più di qualsiasi esotico vettore di attacco all'IA. Puoi costruire il modello più sofisticato del mondo, affinarlo su dati impeccabili, avvolgerlo in guardrail — e poi la scarsa igiene delle password di un singolo sviluppatore fa crollare l'intero castello di carte. Il costo medio di una violazione dei dati nel 2025 ha raggiunto 4,44 milioni di dollari. Ma le organizzazioni continuano a trattare la gestione delle identità come un ripensamento, qualcosa che il team IT sbriga con un video di formazione annuale che nessuno guarda.

La sicurezza del tuo sistema di IA non è mai più forte della credenziale umana più debole nella catena.

In Veriprajna, abbiamo costruito la nostra architettura attorno al presupposto che l'accesso umano sia un vettore ad alto rischio che richiede una verifica continua — ciò che il settore chiama Zero Trust. Non perché non ci fidiamo del nostro team, ma perché ho visto cosa succede quando ti affidi a un qualsiasi singolo punto di autenticazione per tenere la linea.

Cosa significa davvero "Deep AI" — e perché dovrebbe interessarti?

Devo introdurre una distinzione che considero l'idea più importante nell'IA aziendale in questo momento, e che la violazione di McHire illustra alla perfezione: la differenza tra un AI Wrapper e ciò che chiamiamo Deep AI.

Un AI Wrapper è ciò che la maggior parte delle aziende sta effettivamente costruendo quando dice di "fare IA." È un sottile strato applicativo — spesso un chatbot o un modulo — che invia gli input dell'utente a un modello di base come GPT-4 o Claude tramite un'API, ottiene una risposta e la mostra. L'IA è un servizio che stai affittando. La tua applicazione è la vetrina. La sicurezza, la gestione dei dati, la governance — tutto questo è aggiunto in seguito, usando le stesse pratiche di sviluppo web che useresti per qualsiasi app CRUD.

"Olivia" di Paradox.ai era, dal punto di vista architetturale, un wrapper. Uno sofisticato, certo. Ma la postura di sicurezza era ancorata all'infrastruttura web tradizionale — e quell'infrastruttura ha fallito al livello più elementare immaginabile.

La Deep AI è fondamentalmente diversa. Tratta il modello di IA come una primitiva architetturale — come un database o una coda di messaggi — con i propri confini di sicurezza, i propri controlli di accesso, i propri registri di audit. Il modello non è una scatola nera che invochi; è un componente che governi. Costruisci router di prompt, strati di memoria, valutatori di feedback. Implementi difese stratificate che presumono che ogni input sia ostile e ogni output non sia affidabile.

Ho scritto in modo approfondito su questa filosofia architetturale ne la versione interattiva della nostra ricerca, ma l'intuizione centrale è semplice: se la tua strategia di sicurezza per l'IA è "aggiungeremo l'autenticazione e un WAF," stai costruendo un wrapper, e sei a una password predefinita dalla catastrofe.

La difesa a 5 strati che nessuno vuole costruire

Un diagramma di architettura difensiva ad anelli concentrici che mostra i cinque strati di sicurezza dal più esterno al più interno, con etichette chiare per la funzione di ciascun anello.

Dopo la notizia di McHire, ho radunato il mio team di ingegneri in una stanza e ho detto: "Spiegatemi esattamente come il nostro stack avrebbe impedito questo." Non perché dubitassi di loro — ma perché volevo mettere sotto stress ogni presupposto.

Ci abbiamo passato tre ore. A un certo punto, il nostro ingegnere capo della sicurezza ha disegnato sulla lavagna un diagramma che sembrava la sezione trasversale di un castello medievale — anelli concentrici di difesa, ciascuno operante in modo indipendente. Se uno cade, il successivo tiene. Ecco come appare nella pratica:

L'anello più esterno è la sanificazione dell'input — a ogni prompt, a ogni chiamata API viene rimosso tutto ciò che potrebbe essere interpretato erroneamente come un comando di injection. Il secondo anello è il rilevamento euristico delle minacce, che scansiona attivamente alla ricerca di schemi avversari noti. Il terzo è il meta-prompt wrapping, in cui la richiesta dell'utente viene racchiusa in un involucro sicuro di istruzioni che il modello non può ignorare.

Il quarto anello è dove diventa interessante: modelli canary e giudicanti. Un modello più piccolo analizza prima la richiesta. Se segnala qualcosa di sospetto, un secondo modello prende la decisione finale. È un sistema a coppie per l'IA — nessun singolo modello può agire unilateralmente.

Il quinto e più interno anello è la validazione dell'output. Ogni risposta generata dall'IA viene trattata come non affidabile finché non si dimostra il contrario. Strati di redazione delle PII scansionano alla ricerca di dati sensibili. Classificatori di tossicità verificano la presenza di contenuti dannosi. Nulla passa senza essere ispezionato.

Ecco la cosa che mi ha frustrato durante quella sessione alla lavagna: niente di tutto questo è esotico. Nulla di ciò richiede una svolta nella ricerca. È disciplina ingegneristica applicata a un nuovo dominio. Il motivo per cui la maggior parte delle aziende non lo fa è perché è costoso, è lento e non fa una bella figura in una demo. Un chatbot wrapper può essere costruito in un fine settimana e mostrato a un consiglio di amministrazione il lunedì. Un sistema di IA governato correttamente richiede mesi. Indovina quale dei due viene finanziato.

Il settore dell'IA ha un problema di demo: la cosa che colpisce gli investitori in una presentazione è architetturalmente opposta alla cosa che protegge gli utenti in produzione.

Perché la legge tratta i dati sulla personalità come se fossero radioattivi?

Una domanda che ricevo da ogni CTO con cui parlo: "Quanto è grave l'esposizione legale qui, davvero?"

La risposta: potenzialmente esistenziale.

Ai sensi del CCPA, un'azienda può essere citata in giudizio se informazioni personali non crittografate vengono rubate a causa del mancato mantenimento di "procedure di sicurezza ragionevoli." I danni previsti dalla legge sono di 750 dollari per consumatore per incidente. Moltiplicatelo per 64 milioni di record e vi ritrovate di fronte a una responsabilità teorica di 48 miliardi di dollari. Nessun tribunale assegnerebbe l'intero importo, ma anche una frazione basta a mettere fine a un'azienda.

Ai sensi del GDPR, le sanzioni hanno un tetto di 20 milioni di euro o del 4% del fatturato annuo globale — a seconda di quale sia più alto. E l'AI Act dell'UE, che classifica l'IA per il reclutamento come "ad alto rischio," introduce multe fino a 35 milioni di euro o il 7% del fatturato globale per la mancata conformità con le valutazioni del rischio obbligatorie e i requisiti di supervisione umana.

Ma ecco cosa la maggior parte delle analisi legali trascura: il danno reputazionale è peggiore delle multe. Ho parlato con un CHRO di un'azienda Fortune 500 poche settimane dopo la violazione. Mi ha detto che il suo team stava valutando strumenti di assunzione basati sull'IA e aveva selezionato una rosa di tre fornitori. Dopo la vicenda McHire, l'amministratore delegato ha cancellato l'intera iniziativa. "Continueremo a farlo manualmente per un altro anno," ha detto. "Non ho intenzione di essere il prossimo titolo di giornale."

Questo è il vero costo. Non solo per Paradox.ai, ma per ogni azienda di IA legittima che cerca di costruire fiducia con gli acquirenti aziendali. Una violazione catastrofica avvelena il pozzo per tutti.

Come si governa davvero un'IA che prende decisioni sulle persone?

Qui devo essere onesto su qualcosa di scomodo: i framework di governance sembrano noiosi. ISO 42001, NIST AI RMF, OWASP Top 10 per gli LLM — non sono le cose che entusiasmano i fondatori alle cene. Ma sono le cose che distinguono le aziende che sopravvivono al controllo normativo da quelle che non ci riescono.

ISO 42001 è il primo standard internazionale al mondo per i sistemi di gestione dell'IA. Richiede alle organizzazioni di identificare i rischi specifici dell'IA, stabilire obiettivi chiari di trasparenza e sicurezza, condurre valutazioni d'impatto per ciascun sistema di IA e mantenere un monitoraggio continuo attraverso audit interni. Non è un esercizio da spuntare una casella — è un sistema di gestione che ti costringe a pensare alla governance dell'IA nello stesso modo in cui pensi ai controlli finanziari.

Il NIST AI Risk Management Framework fornisce l'ancoraggio strategico, organizzato attorno a quattro funzioni: GOVERN, MAP, MEASURE, MANAGE. Nella violazione di Paradox, la funzione GOVERN ha fallito nel modo più evidente — non esisteva alcuna responsabilità organizzativa per la dismissione del vecchio account amministratore che era rimasto lì dal 2019.

E il framework OWASP — in particolare il suo aggiornamento del 2025 per l'IA agentica — offre agli sviluppatori una tassonomia ordinata delle vulnerabilità più critiche. Agent Goal Hijack, in cui contenuti malevoli alterano il comportamento fondamentale di un agente. Tool Misuse, in cui un agente viene ingannato affinché usi una capacità legittima per uno scopo dannoso. Memory Poisoning, in cui dati corrotti vengono iniettati nella memoria a lungo termine di un agente persistente.

Per l'analisi tecnica completa di come questi framework si intersecano, inclusi i dettagli implementativi e una roadmap di 90 giorni per i dirigenti, ho pubblicato un documento di accompagnamento dettagliato. Ma la sintesi esecutiva è questa: entro il 2026, la governance dell'IA non sarà facoltativa. Sarà un prerequisito per fare affari con qualsiasi azienda dotata di un ufficio legale.

"Non possiamo semplicemente aggiungere la sicurezza dopo?"

Me lo chiedono di continuo. La risposta è sempre la stessa, ed è sempre scomoda: no. Non puoi.

La sicurezza aggiunta a posteriori è teatro della sicurezza. È una serratura su una porta che è già stata rimossa dai cardini. La violazione di McHire lo dimostra — Paradox.ai aveva l'autenticazione. Aveva un portale amministratore. Presumibilmente aveva qualche processo di revisione della sicurezza. Ma poiché la sicurezza non era integrata nell'architettura fin dal primo giorno, l'intero sistema era forte solo quanto una password che un bambino di due anni avrebbe potuto indovinare.

Un'altra obiezione che sento: "Ma noi usiamo un importante provider cloud. La loro sicurezza non è abbastanza buona?" Lo sviluppatore di Paradox in Vietnam è stato compromesso da malware comune — non da un exploit dell'infrastruttura cloud. Il tuo provider cloud può avere una sicurezza perfetta e il tuo sistema può comunque essere violato perché uno sviluppatore ha riutilizzato una password tra servizi. Il perimetro non è dove pensi che sia.

E poi c'è quella che mi fa arrabbiare davvero: "Il nostro fornitore di IA si occupa della sicurezza." È esattamente ciò che pensava McDonald's. Hanno esternalizzato le loro assunzioni basate sull'IA a Paradox.ai e, così facendo, hanno esternalizzato la loro postura di sicurezza a un fornitore il cui portale amministratore era protetto da "123456." La catena di fornitura è ormai il perimetro di sicurezza. Se non governi l'infrastruttura di IA dei tuoi fornitori con lo stesso rigore che applichi alla tua, non stai delegando il rischio — lo stai ignorando.

Il pensiero che non riesco a scacciare

Ecco a cosa continuo a tornare, settimane dopo che la vicenda McHire è scoppiata per la prima volta.

Sessantaquattro milioni di persone — molte delle quali adolescenti, molte che si candidavano per il loro primo lavoro — si sono sedute davanti a uno schermo e hanno risposto alle domande di un chatbot IA. Hanno condiviso informazioni su sé stesse perché il sistema glielo ha detto. Non avevano alcuna leva, alcun potere negoziale, alcuna possibilità di dire "in realtà, preferirei non fare un test della personalità per friggere hamburger." L'asimmetria di potere era totale.

E il sistema che custodiva i loro dati — i loro nomi, i loro profili comportamentali, la valutazione da parte dell'IA della loro personalità — era protetto dalla stessa password che mia figlia usa per il suo account Roblox.

Abbiamo costruito sistemi di IA capaci di valutare la personalità umana su larga scala. Abbiamo solo dimenticato di proteggere gli esseri umani.

Questo non è un problema di tecnologia. È un problema di valori. È ciò che succede quando il settore tratta l'IA come un prodotto da spedire anziché come un sistema da governare. Quando "muoviti in fretta e rompi le cose" incontra "stiamo prendendo decisioni automatizzate sui mezzi di sostentamento delle persone."

L'era del wrapper è finita. Le aziende che sopravviveranno alla prossima ondata di regolamentazione, alla prossima violazione, alla prossima resa dei conti pubblica — saranno quelle che hanno costruito la sicurezza nelle fondamenta, non quelle che l'hanno aggiunta dopo il titolo di giornale. In Veriprajna, quello è l'unico tipo di IA che siamo disposti a costruire. Non perché sia più facile. Perché l'alternativa è indifendibile.

La password "123456" dovrebbe essere un reperto del passato. L'architettura che le ha permesso di contare dovrebbe essere estinta. E i 64 milioni di persone i cui dati sono stati esposti meritano di meglio dell'attuale definizione di "abbastanza buono" del settore.

Ricerca correlata

Pubblicato anche su

Costruisci la tua IA con fiducia.

Collabora con un team che vanta una profonda esperienza nella creazione della prossima generazione di IA aziendale. Lascia che ti aiutiamo a progettare, sviluppare e implementare una strategia di IA di cui ti puoi fidare.

Veriprajna società di consulenza Deep Tech è specializzata nella creazione di sistemi di IA safety-critical per i settori sanitario, finanziario e regolamentato. Le nostre architetture sono validate rispetto a protocolli consolidati con una documentazione di conformità completa.