Pesquisadores da área de segurança descobriram uma vulnerabilidade grave na plataforma de recrutamento McHire, usada pelo McDonald’s. Essa falha permitia o acesso a dados confidenciais de mais de 64 milhões de candidatos, com um procedimento básico e inseguro.
A McHire, que funciona via bot “Olivia” desenvolvido pela Paradox.AI, coletava informações pessoais e testes de personalidade dos candidatos. No entanto, uma falha permitia que qualquer pessoa acessasse o painel administrativo usando a senha “123456” por meio da opção “Paradox team members” — sem precisar de autenticação forte
Além disso, uma API interna vulnerável expunha contatos e chats dos usuários, tornando possível a visualização de informações sensíveis sem qualquer barreira técnica. Os pesquisadores Ian Carroll e Sam Curry revelaram que, em cerca de 30 minutos, conseguiram visualizar currículos e dados acumulados nos últimos anos
A Paradox.AI corrigiu o problema rapidamente após o reporte, e o McDonald’s afirmou estar desapontado com a falha, reforçando que a remediação ocorreu no mesmo dia
Dica de prevenção
-
Proíba senhas fracas: implemente requisitos obrigatórios de complexidade (mín. 8 caracteres, mistura de tipos).
-
Use autenticação multifator (MFA) nos acessos administrativos.
-
Implemente controle de acesso por papéis (RBAC) e revise permissões com frequência.
-
Audite logs de acesso para detectar padrões anômalos e autenticações repetidas com falhas.
-
Teste APIs internas periodicamente e remova endpoints desnecessários ou inseguros.
A falha na McHire evidencia como senhas fracas e falhas em autenticação podem comprometer dados de milhões, mesmo em plataformas amplamente usadas. A adoção de práticas básicas como MFA, controle de acesso e monitoramento constante é essencial para evitar incidentes semelhantes. Se você deseja garantir a segurança de sistemas críticos em sua organização, a LC SEC oferece serviços de auditoria, monitoramento e resposta proativa. Acesse lcsec.io.
Compartilhe nas redes sociais:
