São Paulo — InkDesign News — Recentemente, uma plataforma de recrutamento vinculada à rede de fast food McDonald’s foi alvo de uma falha de segurança alarmante, permitindo que pesquisadores acessassem informações de milhões de candidatos a emprego por meio de credenciais de login extremamente frágeis.
Contexto e lançamento
A plataforma em questão, McHire, facilita a interação entre candidatos e uma inteligência artificial chamada Olivia, projetada para avaliar a aptidão dos solicitantes por meio de interações de chat e testes de personalidade. Criada pela empresa Paradox.ai, McHire é uma tentativa de modernizar o processo de recrutamento, mas o incidente revelado por pesquisadores de segurança destaca as implicações de falhas na segurança cibernética.
Design e especificações
Os pesquisadores Sam Curry e Ian Carroll foram capazes de efetuar login no sistema utilizando a combinação de usuário e senha “123456”. Isso os levou a acessar um vasto banco de dados que continha informações pessoais de mais de 64 milhões de candidatos, incluindo nomes, endereços de e-mail, números de telefone e até conversas entre os candidatos e o bot Olivia. Curry e Carroll relataram:
“Sem muito pensar, inserimos ‘123456’ como usuário e ‘123456’ como senha e ficamos surpresos ao ver que estávamos imediatamente logados! Acabamos nos tornando administradores de um restaurante teste dentro do sistema McHire.”
(“Without much thought, we entered ‘123456’ as the username and ‘123456’ as the password and were surprised to see we were immediately logged in! It turned out we had become the administrator of a test restaurant inside the McHire system.”)— Sam Curry e Ian Carroll, Pesquisadores de Segurança
Repercussão e aplicações
A falha gerou preocupações substanciais sobre a segurança cibernética em empresas de grande porte, ressaltando uma tendência contínua de vulnerabilidades em plataformas digitais. Em resposta ao incidente, as empresas confirmaram que as credenciais em questão estavam “não mais utilizáveis para acessar o aplicativo” e que medidas de segurança foram implementadas rapidamente. Paradox.ai declarou:
“Usando uma senha legado, os pesquisadores logaram-se em uma conta de teste relacionada a um único cliente da Paradox. Atualizamos nossos padrões de segurança de senha desde que a conta foi criada, mas a senha dessa conta de teste nunca foi atualizada.”
(“Using a legacy password, the researchers logged into a Paradox test account related to a single Paradox client instance. We’ve updated our password security standards since the account was created, but this test account’s password was never updated.”)— Paradox.ai
Esse episódio acende um alerta sobre a necessidade de sistemas de segurança mais robustos e vigilância constante em um ambiente digital cada vez mais vulnerável.
À medida que as empresas se adaptam às tecnologias emergentes, a ênfase na segurança dos dados deve ser uma prioridade inegociável. A susceptibilidade a falhas como essa revelou a urgência de revisões abrangentes de segurança em plataformas emergentes.
Fonte: (Gizmodo – Cultura Tech & Geek)
