Vulnerabilidade expôs dados de candidatos do McDonald’s

Pesquisadores de segurança digital identificaram uma vulnerabilidade que permitia o acesso a milhões de Dados de candidatos do McDonald’s. Ian Carroll e Sam Curry divulgaram a falha na última quarta-feira, dia 9 de julho. O problema afetava a plataforma McHire, usada para candidaturas de vagas na rede de fast food, expondo informações sensíveis de diversos usuários.

Detalhes da Vulnerabilidade na Plataforma de Contratação

A plataforma McHire, utilizada pelo McDonald’s para seu processo de seleção, opera com a ajuda da Olivia. Esse é um bot de inteligência artificial que coleta dados pessoais dos candidatos, suas preferências e até aplica testes de personalidade. A tecnologia foi desenvolvida pela empresa Paradox.AI. Os pesquisadores, Ian Carroll e Sam Curry, começaram a investigar a plataforma após relatos de comportamentos estranhos da IA, o que despertou a curiosidade sobre sua segurança.

Durante a análise de segurança, Carroll e Curry descobriram que a plataforma aceitava senhas bem simples, como “123456”, para permitir o acesso a uma quantidade significativa de informações coletadas pela Olivia. Essa falha básica já representava um risco considerável para a privacidade dos usuários. A simplicidade da senha era um ponto crítico de vulnerabilidade, facilitando o acesso indevido.

Além da senha fraca, os pesquisadores também encontraram outra brecha. Uma API interna (Application Programming Interface) permitia que eles acessassem contatos e chats que desejassem dentro da plataforma. Esse tipo de vulnerabilidade em API pode expor comunicações confidenciais e ampliar o alcance de um possível ataque, comprometendo ainda mais os modelos de IA para empresas.

Segundo Carroll e Curry, essa falha na plataforma McHire poderia permitir que qualquer pessoa acessasse dados pessoais de mais de 64 milhões de usuários que enviaram seus currículos. O processo não exigiu nenhum conhecimento técnico avançado. Bastou que a dupla fizesse login no site usando a opção “Paradox team members” e inserisse a senha para ter acesso generalizado. Isso destaca a importância de atualizações de segurança constantes.

Respostas da Paradox.AI e do McDonald’s

A revista WIRED, responsável por reportar o caso, entrou em contato com a Paradox.AI para obter explicações sobre a falha. Em comunicado, a empresa confirmou o problema. No entanto, a Paradox.AI afirmou que a brecha não foi acessada por mais ninguém, exceto pelos próprios pesquisadores que a descobriram, e que a situação foi rapidamente resolvida após a identificação do erro.

O McDonald’s também se manifestou sobre o incidente, expressando grande desapontamento com a situação envolvendo a Paradox.AI. A empresa de fast food enfatizou que, “assim que soubemos do problema, solicitamos à Paradox.AI que o remediasse imediatamente, e ele foi resolvido no mesmo dia em que nos foi relatado”. A rapidez na resposta foi um ponto destacado por ambas as companhias.

O mais interessante dessa descoberta é que Carroll e Curry só identificaram a vulnerabilidade por pura curiosidade, devido ao comportamento atípico da IA Olivia. Ian Carroll relatou: “Então comecei a me candidatar a um emprego e, depois de 30 minutos, tivemos acesso total a praticamente todos os pedidos feitos ao McDonald’s nos últimos anos.” A adoção de agentes de IA nas empresas brasileiras, e globalmente, precisa vir acompanhada de auditorias de segurança rigorosas.

Este incidente ressalta a importância de auditorias de segurança e o rigor na implementação de medidas de proteção, especialmente em plataformas que lidam com um volume expressivo de informações pessoais. A vigilância e a ação rápida, tanto de pesquisadores quanto das empresas, são cruciais para a proteção dos dados dos usuários no ambiente digital.

Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.