O Bot de Contratação por IA do McDonald’s expõe 64 milhões de candidatos a emprego em grande violação de dados

Image by Erik Mclean, from Unsplash

O Bot de Contratação por IA do McDonald’s expõe 64 milhões de candidatos a emprego em grande violação de dados

Tempo de leitura: 3 minuto

Última atualização: Jul 11, 2025

A fraca senha no chatbot de contratação do McDonald’s expôs os dados de milhões de candidatos a empregos, levantando sérias preocupações sobre IA, privacidade e práticas de segurança digital.

Está com pressa? Aqui estão os fatos rápidos:

  • O bot de IA da McHire expôs mais de 64 milhões de registros de candidatos do McDonald’s aos hackers.
  • Hackers acessaram dados usando a senha “123456” em uma conta Paradox.ai.
  • Dados pessoais como nomes, e-mails e números de telefone estavam visíveis.

Uma grave falha de segurança na plataforma de contratação do McDonald’s expôs os dados pessoais de milhões de candidatos a empregos usando métodos surpreendentemente básicos, conforme relatado inicialmente pelo WIRED. O problema de segurança foi encontrado em McHire.com, que permite aos candidatos interagir com “Olívia”, o chatbot de inteligência artificial desenvolvido pela Paradox.ai para a triagem de candidatos.

A WIRED reporta que os especialistas em segurança Ian Carroll e Sam Curry ganharam acesso ao sistema backend do McHire através da combinação do nome de usuário e senha “123456”. Os pesquisadores tiveram acesso às informações dos candidatos, incluindo nomes, e-mails, números de telefone e registros de chat de mais de 64 milhões de registros após entrarem no sistema.

“Eu apenas pensei que era bastante distópico em comparação com um processo normal de contratação”, disse Carroll à WIRED. “Então comecei a me candidatar a um emprego, e depois de 30 minutos, tínhamos acesso total a praticamente todas as inscrições que já foram feitas para o McDonald’s ao longo dos anos”, acrescentou Carroll.

A Paradox.ai confirmou a falha em uma declaração e disse que apenas um pequeno número de registros continha dados pessoais. A conta exposta não havia sido acessada desde 2019 e não possuía proteções básicas, como autenticação multifatorial. “Não levamos esse assunto de ânimo leve”, disse a chefe de direito da Paradox.ai, Stephanie King, conforme relatado pela WIRED. “Assumimos isso”, acrescentou ela.

A WIRED informou que o McDonald’s divulgou uma declaração diferente, que apontava a Paradox.ai como a fonte do problema e afirmava que o problema foi corrigido imediatamente. “Estamos desapontados com essa vulnerabilidade inaceitável de um fornecedor terceirizado”, disse a empresa.

Carroll e Curry explicaram que os dados expostos poderiam ser usados para executar ataques de phishing, se passando pela equipe de RH do McDonald’s, que solicitaria informações financeiras sensíveis dos candidatos. Os dados expostos incluíam informações não sensíveis, mas seu contexto como inscrições para vagas de salário mínimo criava riscos potenciais de danos aos candidatos.

Gostou desse artigo? Avalie!
Eu detestei Eu não gostei Achei razoável Muito bom! Eu adorei!

Estamos muito felizes que tenha gostado do nosso trabalho!

Como um leitor importante, você se importaria de nos avaliar no Trustpilot? É rápido e significa muito para nós. Obrigado por ser incrível!

Avalie-nos no Trustpilot
0 Votado por 0 usuários
Título
Comentar
Obrigado por seu feedback