Falha no McHire, chatbot da McDonald’s, expôs dados de milhões — saiba o que aconteceu e como se proteger.
Na última semana, pesquisadores de segurança revelaram uma grave falha no sistema McHire, usado pela McDonald’s para gerenciar candidaturas. O chatbot “Olivia”, desenvolvido pela Paradox.ai, foi encontrado com credenciais padrão extremamente frágeis: usuário “123456” e senha “123456”
Além disso, um bug de IDOR (Insecure Direct Object Reference) permitia a qualquer pessoa, ao alterar o parâmetro lead_id, acessar os históricos de chat e dados pessoais de mais de 64 milhões de solicitações de emprego
Impactos:
- Exposição de nome, e‑mail, telefone, endereço e respostas a testes comportamentais.
- Vulnerabilidade explorável automaticamente, sem esforço por parte de invasores.
Resposta:
A McDonald’s e a Paradox.ai agiram rapidamente: as credenciais padrão foram desativadas e o bug corrigido no mesmo dia do alerta, reduzindo riscos imediatos
Lições e recomendações:
- Nunca use senhas fracas ou padrões. Prefira gerenciadores de senhas e autenticação multifator.
- Teste contra falhas de segurança comuns, especialmente IDOR, em APIs.
- Cuidados com fornecedores: sistemas terceirizados devem ser examinados com rigor.
- Agilidade na resposta: vulnerabilidades devem ser corrigidas imediatamente ao serem reportadas.
Fontes:
https://www.tomshardware.com/
https://www.bleepingcomputer.com/
https://www.pcworld.com/
