Dados de 64 Milhões de Candidaturas de Emprego do McDonald’s Expostos

Mais de 64 milhões de candidatos a emprego do McDonald’s nos Estados Unidos podem ter tido suas informações pessoais expostas após pesquisadores de cibersegurança descobrirem sérias vulnerabilidades de segurança no McHire, a plataforma de contratação alimentada por IA do gigante fast-food.

Credenciais Fracas Liberam Acesso de Admin

Pesquisadores de segurança Ian Carroll e Sam Curry descobriram que o painel de administração do McHire, usado por proprietários de restaurantes para gerenciar candidaturas, aceitava credenciais de login fracas padrão de um nome de usuário “123456” e uma senha de “123456”.

Para quem não sabe, o McHire, usado por 90% dos franqueados do McDonald’s, é uma plataforma de contratação baseada em chatbot alimentada pela Paradox.ai. Ela apresenta um bot chamado ‘Olivia’ que coleta dados dos candidatos, preferências de turno e realiza testes de personalidade como parte do processo de candidatura.

Usando as credenciais de teste, os pesquisadores fizeram login em uma conta de restaurante de teste e descobriram que podiam visualizar e interagir com dados de chat ao vivo entre Olivia e os candidatos. Eles descobriram que uma vulnerabilidade de Referência Direta Insegura de Objeto (IDOR) em uma API interna permitia que qualquer pessoa com uma conta McHire acessasse os dados pessoais e chats de qualquer candidato simplesmente mudando um número na API.

“Durante uma revisão de segurança superficial de algumas horas, identificamos dois problemas sérios: a interface de administração do McHire para proprietários de restaurantes aceitava as credenciais padrão 123456:123456, e uma referência direta insegura de objeto (IDOR) em uma API interna nos permitiu acessar quaisquer contatos e chats que quiséssemos,” escreveu Carroll em uma postagem sobre a falha.

“Juntas, elas nos permitiram e a qualquer outra pessoa com uma conta McHire e acesso a qualquer caixa de entrada recuperar os dados pessoais de mais de 64 milhões de candidatos.”

Em outras palavras, ao modificar o lead_id em uma solicitação do navegador—essencialmente aumentando ou diminuindo um número—eles podiam visualizar informações pessoais de outros candidatos em todo o sistema. Isso incluía nomes, e-mails, números de telefone, endereços residenciais, status da candidatura e até mesmo tokens de login que poderiam permitir que eles se passassem pelos candidatos no sistema.

Enquanto os candidatos acreditavam que estavam conversando em segurança, suas conversas e dados estavam acessíveis a qualquer um que encontrasse o login de teste e manipulasse a API exposta.

Resposta e Medidas Tomadas

Os pesquisadores de segurança divulgaram para a Paradox.ai e o McDonald’s em 30 de junho, e eles responderam rapidamente. Dentro de algumas horas, as credenciais padrão foram desativadas, e ambas as vulnerabilidades foram supostamente corrigidas até 1º de julho.

“Estamos desapontados com essa vulnerabilidade inaceitável de um fornecedor terceirizado, Paradox.ai. Assim que soubemos do problema, exigimos que a Paradox.ai remediasse a questão imediatamente, e foi resolvida no mesmo dia em que nos foi relatada,” disse McDonald em um comunicado sobre a pesquisa.

A Paradox.ai afirmou que a maioria dos chats expostos não continha informações pessoais e enfatizou que nenhuma evidência de acesso malicioso foi encontrada além dos pesquisadores. Ela afirmou que apenas um punhado de registros sensíveis que incluíam detalhes completos foram acessados durante os testes.

“Queremos deixar muito claro que, embora os pesquisadores possam ter tido acesso breve ao sistema contendo todas as interações de chat (NÃO candidaturas de emprego), eles apenas visualizaram e baixaram cinco chats no total que continham informações de candidatos. Novamente, em nenhum momento dados foram vazados online ou tornados públicos,” escreveu a Paradox em uma atualização de segurança.

Além disso, a Paradox prometeu protocolos de segurança mais rigorosos, um novo programa de recompensas por bugs e canais de divulgação mais acessíveis. Enquanto isso, o McDonald’s declarou que está revisando suas parcerias e prometeu apertar a supervisão de seus fornecedores terceirizados e manter padrões rigorosos de proteção de dados.