Danas mnoge kompanije koriste veštačku inteligenciju kada je reč o procesu zapošljavanja. Botovi pregledaju biografije, filtriraju kandidate i vode prvobitnu komunikaciju pre nego što se uključi čovek. McDonald’s koristi AI platformu za zapošljavanje pod nazivom McHire, zasnovanu na chatbotu “Olivia” kompanije Paradox.ai, da bi ubrzao i olakšao ovaj proces.
Iako AI donosi brojne prednosti, sa sobom nosi i rizike po privatnost podataka. To se pokazalo kada su bezbednosni istraživači Ian Carroll i Sam Curry otkrili propust koji je omogućio pristup ličnim podacima nekoliko kandidata, iako su se u početku pojavile spekulacije o mnogo većem curenju podataka.
Šta su istraživači otkrili?
Dana 30. juna 2025. godine, istraživači su preko zastarele i jednostavne lozinke “123456” uspeli da pristupe testnom nalogu kompanije Paradox.ai koji koristi McDonald’s. U tom testnom okruženju otkrili su nezaštićeni deo sistema u kome su čuvani zapisi razgovora kandidata sa chatbotom. Podaci uključuju:
- Ime i prezime
- Email adresa
- Broj telefona
- IP adresa
Kako se pominje, pored navedenog nisu otkriveni osetljivi podaci poput brojeva socijalnog osiguranja, finansijskih podataka ili kompletnih prijava.
Kako su reagovali Paradox.ai i McDonald’s?
Paradox.ai je brzo deaktivirao problematični nalog i popravio ranjivost u roku od nekoliko sati. Takođe su pokrenuli program za prijavu bezbednosnih propusta i obezbedili poseban kontakt za bezbedne prijave.
McDonald’s je u zvaničnom saopštenju naveo da ozbiljno shvata bezbednost podataka i da je odmah zahtevao da se problem reši, što je i učinjeno istog dana. Takođe, naglasili su da će pojačati kontrole bezbednosti kod svojih partnera.
Da li je bilo ugroženo 64 miliona podataka?
Rani medijski izveštaji govorili su o mogućem curenju i do 64 miliona prijava za posao. Međutim, istraživači i Paradox.ai su demantovali ove tvrdnje, navodeći da je pristup bio ograničen samo na nekoliko zapisa koji su korišćeni za proveru propusta.
Iako je propust bio realan, uticaj je bio ograničen zahvaljujući brzoj reakciji i odgovornom otkrivanju. Ovaj slučaj podseća da je, uprkos napretku u veštačkoj inteligenciji, zaštita ličnih podataka kandidata za posao apsolutni prioritet. Pa da vidimo u nastavku koji koraci su ključni da bi se sporvela elementarna zaštita.
Preporuke za zaštitu ličnih podataka na platformama za zapošljavanje
U eri digitalnog zapošljavanja, zaštita ličnih podataka kandidata je ključna. Evo nekoliko praktičnih saveta koji će pomoći da smanjite rizik od curenja i zloupotrebe podataka prilikom korišćenja online platformi:
-
Ograničite prikupljanje ličnih podataka na minimum
Zahtevajte samo one informacije koje su neophodne za proces zapošljavanja. Izbegavajte prikupljanje osetljivih podataka poput broja socijalnog osiguranja ili punih adresa, osim ako je to zaista neophodno i uz adekvatnu zaštitu. -
Podstičite korišćenje zasebnih email adresa za prijave
Kandidati bi trebalo da koriste posebne email adrese ili alias naloge za prijave. To ne samo da im olakšava organizaciju, već i smanjuje mogućnost zloupotrebe ličnih podataka u slučaju curenja. -
Obavezna provera bezbednosnih standarda sajta
Preporučuje se da platforme imaju jasne sigurnosne protokole, uključujući HTTPS protokol, transparentnu politiku privatnosti i profesionalan dizajn sajta. Sumnjive prakse treba odmah izbegavati. -
Razmotrite implementaciju servisa za praćenje i uklanjanje podataka
Servisi koji prate gde su podaci kandidata dostupni na internetu i pomažu u njihovom uklanjanju mogu znatno doprineti zaštiti privatnosti. Time se smanjuje rizik od phishing napada i lažnog predstavljanja. -
Obavezno korišćenje jakih i jedinstvenih lozinki
Podstičite korisnike platforme da koriste jake lozinke, različite od onih koje koriste na drugim servisima. Razmotrite uvođenje alata za menadžment lozinki ili dvostepenu autentifikaciju. -
Kontinuirani nadzor i edukacija o pretnjama
Budite u pripravnosti za potencijalne zloupotrebe ličnih podataka i redovno edukujte zaposlene i korisnike o prepoznavanju fišing poruka i drugih oblika prevare. Verifikacija zahteva za dodatnim informacijama treba da bude standardna praksa.
