-Jul-11-2025-10-25-55-2926-AM.jpg)
Falha na McHire expôs dados de 64 milhões e aceitava senha “123456”
A falha na plataforma de recrutamento McHire, utilizada pelo McDonald’s, expôs dados de 64 milhões de candidatos devido ao uso de senhas fracas, como "123456". Uma API vulnerável permitia o acesso ...
Resumo rapido
A falha na plataforma de recrutamento McHire, utilizada pelo McDonald’s, expôs dados de 64 milhões de candidatos devido ao uso de senhas fracas, como "123456". Uma API vulnerável permitia o acesso a informações sensíveis sem autenticação adequada. A Paradox.AI corrigiu a falha rapidamente.
Neste artigo você vai aprender:
- Sobre a vulnerabilidade na plataforma McHire.
- Como a falha permitiu acesso a dados sensíveis.
- Sinais de alerta para identificar falhas de segurança.
- Medidas de proteção para evitar incidentes semelhantes.
- Boas práticas de segurança para plataformas online.
O que é a falha na McHire
Pesquisadores da área de segurança descobriram uma vulnerabilidade grave na plataforma de recrutamento McHire, usada pelo McDonald’s. Essa falha permitia o acesso a dados confidenciais de mais de 64 milhões de candidatos, com um procedimento básico e inseguro.
Como funciona a McHire
A McHire, que funciona via bot “Olivia” desenvolvido pela Paradox.AI, coletava informações pessoais e testes de personalidade dos candidatos. No entanto, uma falha permitia que qualquer pessoa acessasse o painel administrativo usando a senha “123456” através da opção “Paradox team members” — sem precisar de autenticação forte.
Além disso, uma API interna vulnerável expunha contatos e chats dos usuários, tornando possível a visualização de informações sensíveis sem qualquer barreira técnica. Os pesquisadores Ian Carroll e Sam Curry revelaram que, em cerca de 30 minutos, conseguiram visualizar currículos e dados acumulados nos últimos anos.
Sinais de alerta / Como identificar
A falha na McHire evidencia como senhas fracas e falhas em autenticação podem comprometer dados de milhões, mesmo em plataformas amplamente usadas. Identificar senhas simples e a falta de autenticação multifator são sinais importantes que devem ser monitorados.
O que fazer agora / Como se proteger
- Proíba senhas fracas: implemente requisitos obrigatórios de complexidade (mín. 8 caracteres, mistura de tipos).
- Use autenticação multifator (MFA) nos acessos administrativos.
- Implemente controle de acesso por papéis (RBAC) e revise permissões com frequência.
- Audite logs de acesso para detectar padrões anômalos e autenticações repetidas com falhas.
- Teste APIs internas periodicamente e remova endpoints desnecessários ou inseguros.
Prevenção / Boas práticas
A adoção de práticas básicas como autenticação multifator, controle de acesso e monitoramento constante é essencial para evitar incidentes semelhantes. A Paradox.AI corrigiu o problema rapidamente após o reporte, e o McDonald’s afirmou estar desapontado com a falha, reforçando que a remediação ocorreu no mesmo dia.
Perguntas frequentes
Qual foi a falha na McHire?
A falha permitia o acesso ao painel administrativo com a senha "123456" e expunha dados de 64 milhões de candidatos devido a uma API vulnerável.
O que é autenticação multifator (MFA)?
A autenticação multifator (MFA) é uma camada adicional de segurança que requer mais de uma forma de verificação para acessar um sistema.
Como posso prevenir falhas semelhantes?
Impondo requisitos de senhas fortes, utilizando autenticação multifator, e realizando auditorias de acesso regulares.
Garanta a segurança da sua empresa
Se você deseja garantir a segurança de sistemas críticos em sua organização, a LC SEC oferece serviços de auditoria, monitoramento e resposta proativa.
Receba as principais notícias de cibersegurança
Inscreva-se em nossa newsletter e receba artigos, alertas de vulnerabilidades e tendências diretamente no seu email.
Compartilhe nas redes sociais:
