São Paulo — InkDesign News — Uma grave vulnerabilidade no sistema de recrutamento McHire, utilizado amplamente por franquias do McDonald’s, expôs informações pessoais de mais de 64 milhões de candidatos a emprego, decorrente de falhas de segurança e credenciais padrão vulneráveis.
Incidente e vulnerabilidade
O exploit foi identificado por pesquisadores de segurança que revelaram dois principais vetores de ataque. O primeiro, relacionado a credenciais administrativas padrão, permitia acesso não autorizado ao sistema através de combinações facilmente adivinháveis, como “123456” para ambos, nome de usuário e senha. Este erro concedeu acesso administrativo a contas de teste.
O segundo e mais sério problema era uma Referência Direta Insegura de Objetos (IDOR) em uma API interna. Isso permitiu que qualquer usuário com uma conta McHire acessasse informações confidenciais de outros candidatos, simplesmente alterando um número no endereço web associado às interações dos candidatos.
Impacto e resposta
A exposição dos dados incluiu nomes, endereços de e-mail, números de telefone e até tokens de autenticação que poderiam ser utilizados para acessar as contas dos candidatos. A situação se agravou quando pesquisadores conseguiram visualizar detalhes de milhões de aplicações de emprego, incluindo informações sensíveis e mensagens de chat não criptografadas.
Após a descoberta, os pesquisadores notificaram a Paradox.ai e o McDonald’s em 30 de junho de 2025. A empresa respondeu rapidamente, desativando as credenciais padrão ainda no mesmo dia, e as falhas foram totalmente corrigidas no dia seguinte, conforme confirmou a Paradox.ai.
Mitigações recomendadas
Para evitar incidentes semelhantes, as organizações devem seguir práticas rigorosas de segurança, incluindo a utilização de credenciais fortes e únicas para sistemas operacionais e APIs. Além disso, recomenda-se que sistemas que processam dados pessoais sejam devidamente auditados e implementados com controles de acesso adequados.
“O problema não está na IA em si, mas na falta de higiene básica de segurança e governança ao seu redor.”
(“The issue here isn’t the AI itself, but the lack of basic security hygiene and governance around it.”)— Kobi Nissan, Co-Fundador & CEO, MineOS
Além das correções imediatas, as empresas devem se comprometer com uma infraestrutura que integre a segurança cibernética aos fluxos de trabalho existentes.
“À medida que a adoção avança, as empresas precisam tratar a IA não como uma novidade, mas como um ativo regulamentado.”
(“As adoption accelerates, businesses need to treat AI not as a novelty but as a regulated asset.”)— Kobi Nissan, Co-Fundador & CEO, MineOS
Os riscos residuais persistem, e a atenção contínua à segurança será crucial à medida que novas tecnologias e suas vulnerabilidades emergem.
Fonte: (Hack Read – Segurança Cibernética)
