O recrutador de IA do McDonald’s armazenou dados pessoais de 64 milhões de candidatos a emprego sob a senha “123456”

A segurança dos dados dos usuários na plataforma McHire, usada pelo McDonald’s para recrutar funcionários, foi seriamente comprometida. O robô de IA Olivia armazenou os dados dos candidatos a emprego sob a senha “123456”, o que permitiu que hackers acessassem facilmente as informações pessoais dos candidatos: nomes, números de telefone e endereços de e-mail. Especialistas estimam que até 64 milhões de registros podem ter sido vazados.

Fonte da imagem: Waid1995/Pixabay

A vulnerabilidade tornou-se conhecida depois que os pesquisadores independentes Ian Carroll e Sam Curry, especialistas em testes de segurança, descobriram falhas no sistema. Usando métodos simples, incluindo força bruta no login e na senha “123456”, eles obtiveram acesso direto aos bancos de dados da plataforma. De acordo com a Wired, a pesquisa foi conduzida sem intenção maliciosa: os especialistas queriam apenas testar o nível de proteção do serviço.

Carroll disse que se interessou pelo sistema de recrutamento do McDonald’s especificamente por sua abordagem incomum. Ele disse que o uso de um bot de IA em vez de recrutadores humanos parecia tão estranho que decidiu testar a segurança dos dados dos candidatos. Como resultado, após apenas meia hora de testes, ele teve acesso a todas as candidaturas enviadas ao McDonald’s nos últimos anos.

A Paradox.ai, empresa que desenvolveu a plataforma de chatbot, confirmou a vulnerabilidade, mas afirmou que apenas uma pequena parte dos dados continha informações pessoais. A empresa também afirma que a conta com a senha “123456” não foi hackeada por terceiros e que foi acessada exclusivamente pelos próprios pesquisadores. No entanto, a diretora jurídica da Paradox.ai, Stephanie King, afirmou que a empresa entende a gravidade do problema e já está trabalhando em um programa de vulnerabilidades para evitar incidentes semelhantes no futuro.

O McDonald’s, por sua vez, culpou a Paradox.ai, classificando a situação como inaceitável. A empresa afirmou em um comunicado que a vulnerabilidade foi corrigida no mesmo dia em que foi reportada e que a rede de restaurantes exige que seus contratados cumpram padrões rigorosos de proteção de dados.