McDonald’s revela vulnerabilidade que expôs dados de 64 milhões

São Paulo — InkDesign News — Uma vulnerabilidade crítica na plataforma McHire, utilizada para recrutamento na McDonald’s, expôs os dados pessoais de mais de 64 milhões de candidatos a emprego. Pesquisadores descobriram falhas que permitiram acesso não autorizado a informações sensíveis, incluindo nomes e endereços de e-mail.

Incidente e vulnerabilidade

A falha revelada na McHire, uma plataforma de recrutamento impulsionada por inteligência artificial, erigiu um panorama preocupante em relação à segurança de dados. Identificada por Ian Carroll e Sam Curry, a vulnerabilidade consistiu em dois fatores críticos: a utilização de credenciais de acesso administrativas padrão facilmente adivinháveis e uma falha de Insecure Direct Object Reference (IDOR). Este último permitiu que um usuário alterasse um parâmetro na URL — especificamente, um lead_id vinculado às interações de candidatos — para acessar informações de outros solicitantes. Não foi atribuída uma CVE específica nos relatos iniciais.

Impacto e resposta

A exploração dessa vulnerabilidade resultou na exposição de dados pessoais que incluíam informações de contato e tokens de autenticação, que poderiam permitir que o atacante se logasse como o próprio candidato. As investigações começaram após reportagens no Reddit sobre respostas estranhas do chatbot de recrutamento, denominado Olivia. Os pesquisadores, ao testar a plataforma, notaram que as credenciais padrão de administrador eram “123456”, dando acesso irrestrito aos dados dos usuários.

Em resposta ao incidente, McDonald’s e Paradox.ai foram contatados imediatamente após a descoberta, levando a McDonald’s a desativar rapidamente as credenciais administrativas dentro de um período de pouco mais de 1 hora, enquanto a Paradox.ai confirmou a resolução total das falhas um dia depois.

“A questão aqui não é a IA em si, mas a falta de higiene básica de segurança e governança ao seu redor.”
(“The issue here isn’t the AI itself, but the lack of basic security hygiene and governance around it.”)

— Kobi Nissan, Co-Fundador & CEO, MineOS

Mitigações recomendadas

As organizações são encorajadas a implementar boas práticas de segurança, como autenticação robusta e auditoria constante dos sistemas. A atualização de credenciais padrão deve ser uma prioridade, assim como a implementação de controles de acesso rigorosos. Sistemas que processem dados pessoais devem ser tratados com a mesma seriedade que os sistemas centrais de negócios, pois os riscos associados aos dados pessoais são amplamente reconhecidos.

“À medida que a adoção de IA acelera, as empresas precisam tratá-la não como uma novidade, mas como um ativo regulado.”
(“As adoption accelerates, businesses need to treat AI not as a novelty but as a regulated asset.”)

— Kobi Nissan, Co-Fundador & CEO, MineOS

Embora a vulnerabilidade tenha sido corrigida rapidamente, os riscos residuais permanecem, e as empresas devem considerar uma reavaliação contínua de suas posturas de segurança da informação e governança. É imperativo integrar a segurança em cada etapa do ciclo de vida da implementação de novas tecnologias.

Fonte: (Hack Read – Segurança Cibernética)