Pesquisadores de segurança descobriram uma vulnerabilidade na plataforma McHire, sistema de recrutamento do McDonald's, que permitiu acesso a informações pessoais de 64 milhões de candidatos a emprego. A falha foi revelada na última quarta-feira (9/7) e ocorreu devido ao uso da senha "123456" para login no sistema.
A vulnerabilidade foi encontrada pelos especialistas Ian Carroll e Sam Curry durante uma análise de segurança no sistema de contratação da rede de fast-food. A plataforma McHire, desenvolvida pela empresa Paradox.ai, utiliza um chatbot com inteligência artificial (IA) para coletar informações dos candidatos durante o processo seletivo.
Os dados expostos incluíam nomes completos, endereços de e-mail, endereços residenciais e números de telefone dos candidatos que utilizaram a senha fraca para acessar a plataforma. Os pesquisadores também identificaram outra falha em uma API interna que dava acesso às conversas entre os candidatos e o chatbot de IA.
Carroll e Sam Curry realizaram o que declararam ser uma "rápida revisão de segurança de algumas horas" no sistema, e detectaram a falha de segurança.
A Paradox.ai informou em seu blog que corrigiu as falhas em poucas horas após ser contatada pelos pesquisadores. A empresa afirmou que não houve vazamento público dos dados dos candidatos.
Especialistas em segurança digital consideram a combinação "123456" extremamente vulnerável, facilitando o acesso não autorizado às informações. Para evitar problemas semelhantes, recomendam a criação de senhas fortes com combinação de letras maiúsculas, minúsculas, números e caracteres especiais.