Os pesquisadores de segurança foram capazes de quebrar o sistema de contratação de inteligência artificial do McDonald’s (AI) em 30 minutos usando uma das senhas mais comuns do mundo, expondo detalhes pessoais de milhões de candidatos a empregos de fast-food em todo o mundo.
Na quarta -feira, Ian Carroll e Sam Curry descobriu a enorme violação de segurança Depois de adivinhar as credenciais do administrador no McHire plataforma. O sistema, alimentado pela AI Chatbot “Olivia”, processa aplicativos para 90% das franquias do McDonald’s em todo o mundo.
“Eu apenas pensei que era bastante distópico em comparação com um processo de contratação normal”, disse Carroll à Conectado. “Então, comecei a me candidatar a um emprego e, depois de 30 minutos, tivemos acesso total a praticamente todos os aplicativos que já foram feitos para os anos de volta do McDonald.”
Os pesquisadores acessaram o back -end usando “123456” como nome de usuário e senha. Eles encontraram uma conta de teste esquecida de 2019 que a Paradox.ai, a empresa de software por trás de McHire, nunca havia desativado.
Informações pessoais em risco incluíram nomes, endereços de email, números de telefone e logs de bate -papo com o bot da AI. O sistema também armazenou os resultados dos testes de personalidade que revelaram detalhes íntimos sobre os hábitos de trabalho dos candidatos e os traços pessoais.
Carroll descreveu a descoberta como entrando “em um cofre desbloqueado”. A vulnerabilidade permitiu que qualquer pessoa visualizasse os registros do candidato simplesmente alterando os números de ID no endereço da Web do sistema.
Essa exposição aos dados cria riscos sérios para os candidatos a emprego. Os criminosos poderiam usar as informações para golpes de phishing, posando como recrutadores do McDonald’s para roubar detalhes financeiros para configurações falsas de depósitos diretos.
“Se alguém tivesse explorado isso, o risco de phishing teria sido enorme”, alertou o pesquisador Sam Curry. “É essa informação para as pessoas que procuram emprego no McDonald’s, pessoas que estão ansiosas e aguardando e -mails de volta”.
A Austrália do McDonald, que contrata mais de 11.000 trabalhadores anualmente, confirmou que milhares de candidatos locais foram afetados. A empresa culpou Paradox.ai pela “vulnerabilidade inaceitável”.
“Estamos desapontados com essa vulnerabilidade inaceitável de um fornecedor de terceiros”, disse um porta-voz do McDonald’s Australia. “Assim que soubemos do problema, determinamos o paradox.ai para remediar o problema imediatamente e foi resolvido no mesmo dia em que nos foi relatado”.
Paradox.ai reconheceu a violação em uma postagem pública de blog. A diretora jurídica Stephanie King disse que a empresa assume total responsabilidade.
“Não tomamos esse assunto de ânimo leve, mesmo que tenha sido resolvido de maneira rápida e eficaz”, disse King a Wired. “Nós possuímos isso.”
A plataforma foi fixada poucas horas após o relatório dos pesquisadores em julho de 2025. Paradox.ai confirmou que nenhum ator malicioso acessou os dados antes do patch.
A violação afeta as pessoas que já estão lutando no mercado de trabalho. Muitos candidatos do McDonald’s são jovens trabalhadores ou aqueles que buscam posições iniciais que possam ser mais suscetíveis a golpes de recrutamento.
Além dos riscos de fraude, a exposição pode envergonhar os candidatos. Os registros de bate -papo revelaram lutas e motivações pessoais compartilhados com a IA durante o processo de inscrição.
O incidente ocorreu à medida que mais empresas adotam a IA para contratação. Sistemas semelhantes são usados por varejistas australianos Bunnings e Woolworthslevantando questões sobre segurança em plataformas de recrutamento automatizadas.
A Paradox.ai anunciou um programa de recompensa de insetos para capturar futuras vulnerabilidades. A empresa enfatizou que os pesquisadores acessaram apenas sete registros, com cinco informações pessoais contendo.
Os especialistas em segurança alertam que a violação demonstra como a adoção de IA apressada geralmente negligencia as medidas básicas de segurança cibernética. A falha envolveu erros elementares, como senhas padrão e controles de acesso ausentes que nunca devem ocorrer no lidar com dados confidenciais.
