Sembra quasi incredibile — eppure è proprio così — che nel 2025 ci si debba ancora confrontare con il problema delle password deboli, anzi debolissime. E ciò che lascia ancora più perplessi è che non si tratta solo di utenti inesperti o distratti, bensì anche di aziende e piattaforme tecnologiche responsabili della gestione di dati altamente sensibili, come per esempio quelli utilizzati nei processi di selezione del personale.

È il caso, decisamente emblematico, di McHire, la piattaforma sviluppata da Paradox.ai, società specializzata in intelligenza artificiale, per conto di McDonald’s, uno dei più grandi e riconosciuti marchi globali nel settore della ristorazione veloce.

A rendere il caso clamoroso è il fatto che, per accedere a un pannello interno, bastava inserire come nome utente e password la sequenza “123456”. Una combinazione talmente ovvia da sembrare quasi una burla, eppure era reale.

La scoperta scioccante dell’uso di 123456 come password nel 2025

A scoprire l’inquietante leggerezza sono stati due ricercatori indipendenti, Ian Carroll e Sam Curry, esperti in sicurezza informatica, che stavano esplorando la piattaforma incuriositi dal processo di selezione automatizzato.

Infatti, McHire non si limita a raccogliere candidature: propone ai candidati anche un chatbot con test della personalità, elemento che aveva suscitato in Carroll una certa perplessità.

«Mi è sembrato tutto molto distopico», ha raccontato, «così ho deciso di approfondire».
Dopo appena 30 minuti di test e analisi superficiali, i due hanno scoperto che era possibile accedere liberamente a un pannello amministrativo interno, presumibilmente destinato a test, ma con collegamenti attivi a dati personali di milioni di utenti. Inizialmente sembrava che il portale fosse scollegato da ambienti reali, ma un esame più attento delle API esposte pubblicamente ha rivelato una realtà ben diversa.

L’entità del danno potenziale

In effetti, il vero problema risiedeva proprio lì: un’interfaccia di programmazione (API) vulnerabile, che consentiva di interrogare il sistema e ottenere, senza alcuna protezione efficace, nomi, indirizzi, email, numeri di telefono e altre informazioni personali. Il tutto, incredibilmente, in chiaro.

Nessuna crittografia. Nessun controllo. Secondo quanto ricostruito dai due esperti, la vulnerabilità era attiva da anni, tanto da far supporre che i dati di circa 64 milioni di candidati potessero essere potenzialmente esposti.

Un numero impressionante, che avrebbe potuto generare conseguenze gravi sia per gli utenti coinvolti, sia per l’immagine e la credibilità delle aziende interessate.

La risposta delle aziende

Una volta scoperta la falla, Carroll e Curry hanno agito in modo responsabile: il 30 giugno scorso hanno immediatamente contattato McDonald’s e Paradox.ai.

Entrambe le aziende hanno reagito in tempi relativamente rapidi: nel giro di poche ore le credenziali “123456” sono state disattivate, e già il 7 luglio è arrivata la comunicazione ufficiale che le vulnerabilità erano state individuate e risolte.

McDonald’s, attraverso una dichiarazione ufficiale rilasciata alla rivista Wired, ha fatto sapere di essere «estremamente delusa» da quanto accaduto, sottolineando che si è trattato di una grave negligenza da parte del fornitore terzo.

Anche Paradox.ai ha riconosciuto l’errore, spiegando che il pannello era parte di un sistema di test risalente al 2019 e che, in teoria, avrebbe dovuto essere dismesso da tempo.

Nonostante ciò, non era mai stato effettivamente chiuso, lasciando così aperta la porta a un potenziale disastro.

A seguito dell’episodio, l’azienda ha anche deciso di lanciare un programma di bug bounty ovvero un’iniziativa rivolta a chiunque, in maniera etica e controllata, segnali vulnerabilità all’interno dei sistemi.

Si tratta, in effetti, di una prassi ormai consolidata nel mondo della sicurezza informatica che molte realtà adottano per prevenire danni ben peggiori.

Non solo 123456: un problema sistemico quello delle password deboli

Tuttavia questo caso non è isolato. Al contrario, rappresenta solo l’ultimo di una lunga serie di episodi che evidenziano una preoccupante carenza di cultura digitale, persino in contesti istituzionali o altamente regolamentati.

Per esempio, è utile ricordare ciò che è emerso nel 2023 all’interno del Dipartimento degli Interni degli Stati Uniti, dove si è scoperto che la password più usata era… “Password-1234”.

Il risultato? 14.000 account governativi violati in meno di due ore.
O ancora, il noto caso – spesso citato in ambito accademico – della petroliera nel Mar Adriatico, il cui sistema di controllo remoto era protetto da un semplice “1234”.

Un esperimento dimostrativo condotto da etici hacker ha mostrato come l’intero sistema di navigazione potesse essere compromesso in meno di dieci minuti.

La necessità di un cambio culturale

Tutti questi episodi, se osservati con attenzione, raccontano la stessa storia. Una storia fatta di superficialità, automatismi pericolosi, mancanza di formazione e soprattutto scarsa consapevolezza.

Le tecnologie possono essere sofisticate, avanzate, all’avanguardia; tuttavia, se gestite da persone non adeguatamente formate, diventano fragili.

È per questo motivo che la cyber sicurezza non può più essere considerata un ambito tecnico riservato a specialisti informatici.

Al contrario, deve diventare una competenze trasversale, una soft skill essenziale, tanto importante quanto saper comunicare o lavorare in gruppo. Deve entrare nei programmi scolastici, nei corsi di formazione professionale, nella quotidianità delle aziende e degli enti pubblici.

Le sfide della società digitale

In altre parole, la prima vera barriera contro gli attacchi informatici è la conoscenza. E per costruire conoscenza serve tempo, ma soprattutto serve volontà.

Fino a quando continueremo a usare “123456” come password, non potremo davvero dirci pronti ad affrontare le sfide della società digitale.

La sicurezza informatica inizia con la consapevolezza individuale, ma deve essere supportata da politiche aziendali rigorose, formazione continua e una cultura che consideri la protezione dei dati non come un costo, ma come un investimento fondamentale per il futuro digitale delle organizzazioni.