Pesquisadores de segurança descobriram uma falha básica que permitia qualquer pessoa acessar milhões de dados de candidatos a vagas de emprego do McDonald ‘s. Ian Carroll e Sam Curry revelaram o problema na última quarta-feira (09), que afeta a plataforma de aplicação McHire, para oportunidades na gigante dos fast foods.
- Em diversas franquias, o McHire funciona por meio da Olivia, um bot que coleta informações pessoais, preferências e realiza testes de personalidade;
- A tecnologia foi criada pela Paradox.AI, e os pesquisadores ficaram interessados em testes a plataforma após reclamações de respostas bizarras pela IA;
- Durante os testes de segurança, foi descoberto que a plataforma aceita senhas básicas, como “123456” para acessar inúmeras informações da Olivia;
- Também foi encontrada uma brecha de uma API interna que permitia acessar quaisquer contatos e chats que os pesquisadores quisessem.
Segundo Carroll e Curry, a vulnerabilidade gigantesca na plataforma faz com que qualquer pessoa acesse dados pessoais de mais de 64 milhões de usuários que aplicaram seus currículos pelo McHire. O processo não demandou conhecimentos técnicos, e bastou a dupla realizar login no site pela opção “Paradox team members”, inserir a senha, e ter acesso generalizado.
O que a Paradox e o McDonald ‘s dizem?
A WIRED, que reportou o caso, entrou em contato com a Paradox.AI para mais explicações. Em nota, a companhia confirma o problema, mas explica que essa brecha não foi acessada por ninguém, com exceção dos pesquisadores, e que já resolveram o assunto, por mais que seja um erro crasso e de responsabilidade da empresa.
O McDonald ‘s também não poupou críticas à Paradox.AI e disse estar muito desapontado pelo incidente. “Assim que soubemos do problema, solicitamos à Paradox.ai que o remediasse imediatamente, e ele foi resolvido no mesmo dia em que nos foi relatado”, explica a companhia.
Entenda: Nova versão de malware com backdoor integrado deixa milhares de Macs em risco
O mais interessante dessa situação é que Carroll e Curry só encontraram a brecha por curiosidade por conta do estranho comportamento da IA Olivia. “Então comecei a me candidatar a um emprego e, depois de 30 minutos, tivemos acesso total a praticamente todos os pedidos feitos ao McDonald ‘s nos últimos anos”, explica Ian Carroll.
Para mais informações sobre segurança e tecnologia, fique ligado no site do TecMundo.
Fonte: TecMundo
