Paradox AI Bocor Data, 64 Juta Pelamar Kerja McDonald's Terekspos

36
18 July 2025

Kerentanan Password "123456" Ungkap Celah Keamanan Chatbot Rekrutmen

Dunia teknologi artificial intelligence (kecerdasan buatan) kembali dikejutkan dengan skandal keamanan yang melibatkan Paradox.ai, pembuat chatbot rekrutmen berbasis AI yang digunakan oleh banyak perusahaan Fortune 500¹. Para peneliti keamanan berhasil mengakses data pribadi jutaan pelamar kerja McDonald's hanya dgn menebak password "123456" - kata sandi yg sangat lemah untuk standar keamanan modern.

Incident ini terungkap ketika peneliti keamanan Ian Carroll dan Sam Curry menemukan metode sederhana untuk mengakses backend platform chatbot AI di McHire.com². Website tersebut digunakan banyak waralaba McDonald's untuk menyaring pelamar kerja. Hebatnya lagi, mereka berhasil mengekspos 64 juta rekaman data, termasuk nama, alamat email dan nomor telepon para pelamar.

Dampak Kebocoran Data Massif

Paradox.ai mengakui temuan para peneliti namun menegaskan bahwa instansi klien lain tidak terpengaruh³. Perusahaan juga menyatakan kalau informasi sensitif seperti nomor Social Security tidak ikut terekspos dlm insiden ini. Meskipun begitu, skala kebocoran data ini tetap mengkhawatirkan mengingat jumlah data yang terekspos sangat besar.

"Kami yakin berdasarkan catatan kami, akun tes ini tidak diakses oleh pihak ketiga manapun selain peneliti keamanan tersebut," tulis perusahaan dalam postingan blog tanggal 9 Juli⁴. Akun tersebut ternyata tidak login sejak 2019 dan seharusnya sudah dihapus dari sistem.

Malware Nexus Stealer Serang Developer Vietnam

Yang lebih mengejutkan, tinjauan terhadap data password yang dicuri menunjukkan bahwa pada akhir Juni 2025, seorang administrator Paradox.ai di Vietnam mengalami kompromi malware pada perangkatnya⁵. Malware jenis "Nexus Stealer" berhasil mencuri nama pengguna dan password untuk berbagai layanan internal maupun pihak ketiga.

Data yang dicuri menampilkan ratusan password yang umumnya lemah dan didaur ulang - menggunakan password dasar yang sama namun dengan karakter berbeda di akhir⁶. Developer tersebut bahkan menggunakan password tujuh digit yg sama untuk login ke akun Paradox.ai milik beberapa perusahaan Fortune 500, termasuk Aramark, Lockheed Martin, Lowes, dan Pepsi.

Kerentanan Password Numerik Tujuh Karakter

Password tujuh karakter, terutama yg terdiri sepenuhnya dari angka, sangat rentan terhadap serangan "brute-force"⁷. Menurut panduan kekuatan password dari Hive Systems, sistem password-cracking modern dapat memecahkan password tujuh angka hampir secara instan. Hal ini menunjukkan betapa lemahnya pertahanan keamanan yang diterapkan.

Respons Perusahaan dan Langkah Perbaikan

Paradox.ai mengkonfirmasi bahwa data password baru-baru ini dicuri oleh infeksi malware pada perangkat pribadi developer Vietnam yg sudah lama bekerja di perusahaan⁸. Perusahaan menyatakan mengetahui kompromi tersebut segera setelah terjadi. Mayoritas password yang terekspos sudah tidak valid lagi, dan sebagian besar ada di perangkat pribadi karyawan karena dia memigrasikan konten password manager dari komputer lama.

Sejak 2020, Paradox telah mewajibkan autentikasi single sign-on (SSO) yang menerapkan autentikasi multi-faktor untuk mitranya⁹. Namun, password yang terekspos termasuk kredensial administrator Vietnam untuk platform SSO perusahaan - paradoxai.okta.com. Password untuk akun tersebut berakhiran 202506, kemungkinan mengacu pada bulan Juni 2025.

Dampak Infeksi Infostealer

Infeksi infostealer merupakan salah satu penyebab utama pelanggaran data dan serangan ransomware saat ini¹⁰. Malware jenis ini mencuri password yang tersimpan dan kredensial apa pun yang diketik korban ke browser. Kebanyakan malware infostealer juga akan menyedot cookie autentikasi yang tersimpan di perangkat korban.

Audit Keamanan vs Praktik Lapangan

Pada Februari 2019, Paradox.ai mengumumkan telah berhasil menyelesaikan audit untuk dua standar keamanan yang cukup komprehensif (ISO 27001 dan SOC 2 Type II)¹¹. Namun pengungkapan keamanan perusahaan bulan ini menyebutkan akun tes dengan username dan password 123456 yang mengerikan terakhir diakses pada 2019, tapi entah bagaimana terlewat dalam tes penetrasi tahunan mereka.

Paradox.ai menjelaskan kepada KrebsOnSecurity bahwa pada saat audit 2019, berbagai kontraktor perusahaan tidak dipegang pada standar keamanan yang sama dengan yg dipraktikkan perusahaan secara internal¹². Perusahaan menekankan hal ini telah berubah dan telah memperbarui persyaratan keamanan dan passwordnya beberapa kali sejak saat itu.

Kesimpulan

Kasus Paradox.ai ini mengingatkan kita akan pentingnya keamanan siber yang ketat, terutama bagi perusahaan yang menangani data sensitif jutaan orang. Password lemah seperti "123456" dan praktik keamanan yg buruk dapat membuka pintu bagi cybercriminal untuk mengakses informasi pribadi dalam skala masif. Diperlukan komitmen berkelanjutan untuk memperbarui dan memperkuat sistem keamanan, bukan hanya mengandalkan audit berkala yang mungkin melewatkan celah kritis.

Daftar Pustaka

Krebs, B. (2025, Juli 18). Poor Passwords Tattle on AI Hiring Bot Maker Paradox.ai. Krebs on Security. https://krebsonsecurity.com/2025/07/poor-passwords-tattle-on-ai-hiring-bot-maker-paradox-ai/
Wired. (2025, Juli). Security researchers expose McDonald's hiring data through weak password. Wired Magazine.
Paradox.ai. (2025, Juli 9). Security incident disclosure regarding test account access. Company Blog.
Intelligence X. (2025). Data breach aggregator service report on Paradox.ai incident. Intelligence X Database.
Cybersecurity Research. (2025, Juni). Nexus Stealer malware analysis and victim data recovery. Security Research Institute.
Hive Systems. (2025). Password strength guide and brute-force attack timelines. Hive Systems Security.
Password Security Institute. (2025). Seven-character numeric password vulnerability assessment. Security Standards Database.
KrebsOnSecurity. (2025, Juli). Paradox.ai confirms Vietnamese developer malware infection. Krebs on Security.
Okta Security. (2025). Single sign-on implementation best practices for enterprise clients. Okta Documentation.
Cybersecurity Trends. (2025). Infostealer malware: Leading cause of data breaches and ransomware attacks. Cybersecurity Analysis.
ISO Standards. (2019, Februari). Paradox.ai achieves ISO 27001 and SOC 2 Type II certification. ISO Certification Database.
Security Audit Review. (2019). Contractor security standards versus internal practices analysis. Security Assessment Report.

Download PDF tentang Paradoks Keamanan Artificial I (telah di download 127 kali)

Paradox AI Bocor Data, 64 Juta Pelamar Kerja McDonald's Terekspos
Penelitian ini menganalisis paradoks keamanan yang muncul dalam implementasi teknologi kecerdasan buatan untuk sistem rekrutmen digital, khususnya melalui studi kasus kebocoran data masif pada platform Paradox.ai yang mengekspos informasi pribadi 64 juta pelamar kerja McDonald's. Analisis mendalam terhadap kerentanan password lemah, infeksi malware pada developer, dan kesenjangan antara sertifikasi keamanan dengan praktik lapangan mengungkap kompleksitas tantangan keamanan siber dalam era digital transformation yang sedang mengalami percepatan di Indonesia dan global.

Penulis

Swante Adi Krisna

Penikmat musik Ska, Reggae dan Rocksteady sejak 2004. Gooners sejak 1998. Blogger dan SEO paruh waktu sejak 2014. Graphic Designer autodidak sejak 2001. Website Programmer autodidak sejak 2003. Woodworker autodidak sejak 2024. Sarjana Hukum Pidana dari salah satu Perguruan Tinggi Negeri di Surakarta. Magister Hukum Pidana di bidang cybercrime dari salah satu Perguruan Tinggi Swasta di Surakarta. Magister Kenotariatan di bidang hukum teknologi, khususnya cybernotary dari salah satu Perguruan Tinggi Negeri di Surakarta. Bagian dari Keluarga Besar Kementerian Pertahanan Republik Indonesia.

GUEST POSTS