Início Tecnologia McDonald’s AI contratando os dados expostos de chatbot de candidatos a emprego

Tecnologia

McDonald’s AI contratando os dados expostos de chatbot de candidatos a emprego

Por

19 Julho 2025

NOVOAgora você pode ouvir artigos da Fox Information!

Muitas empresas agora confiam na IA para lidar com partes do processo de contratação. A tela dos bots retoma, filtrar os candidatos e gerenciar a comunicação preliminar antes de um intervalo humano. O McDonald’s utiliza uma plataforma de contratação movida a IA chamada McHire, que é alimentada pelo Paradox.Ai do Chatbot, Olivia, para simplificar seu processo de recrutamento.

Embora a IA traga conveniência, ela também vem com riscos de privacidade de dados. Isso ficou claro quando dois pesquisadores de segurança divulgaram de forma responsável uma vulnerabilidade crítica que expôs um pequeno número de registros de candidatos, apesar de alguns relatórios iniciais sugerirem uma violação muito maior.

Inscreva -se para o meu relatório gratuito do Cyberguy
Obtenha minhas melhores dicas de tecnologia, alertas de segurança urgentes e ofertas exclusivas entregues diretamente à sua caixa de entrada. Além Cyberguy.com/e-newsletter

Como a IA chatbots está ajudando os hackers a segmentar suas contas bancárias

Um sinal do McDonald’s (Kurt “Cyberguy” Knutsson)

O que os pesquisadores encontraram na plataforma de contratação de IA do McDonald’s?

Em 30 de junho de 2025, os pesquisadores de segurança Ian Carroll e Sam Curry descobriram uma vulnerabilidade em uma conta de teste paradox.ai relacionada a uma única instância do cliente, que serve o McDonald’s. Usando credenciais fracas e desatualizadas, eles acessaram um portal de teste e descobriram um endpoint de API não autenticado vinculado aos registros de interação de bate -papo.

Eles recuperaram sete registros de bate-papo, cinco dos quais incluíram informações candidatas baseadas nos EUA, como:

Nomes completos
Endereços de e -mail
Números de telefone
Endereços IP

Os dois registros restantes não incluíram dados pessoais. Notavelmente, não foram expostos pedidos completos de emprego, números de previdência social ou informações financeiras, e os campos sensíveis permaneceram protegidos.

Um sinal do McDonald’s (Kurt “Cyberguy” Knutsson)

Paradox.ai confirma o escopo da vulnerabilidade de segurança

Paradox.ai respondeu rapidamente, desativando a conta de teste imediatamente e corrigindo o terminal exposto poucas horas após a notificação. Em uma declaração pública, a Companhia confirmou que apenas cinco registros candidatos contendo informações pessoais foram acessados e somente pelos dois pesquisadores que divulgaram eticamente o problema.

A empresa afirma que o incidente afetou apenas um cliente da Paradox, que se acredita ser o McDonald’s, e nenhum outro paradoxo. Os clientes ou sistemas foram afetados. Não há evidências de acesso malicioso ou que quaisquer dados foram vazados ou disponibilizados ao público. A empresa continuou dizendo: “Estamos confiantes de que, com base em nossos registros, essa conta de teste não foi acessada por terceiros além dos pesquisadores de segurança”.

O que é inteligência synthetic (AI)?

O que McDonald’s e Paradox.ai estão fazendo agora

O Paradox.ai admitiu a conta de teste, criada antes de 2019, deveria ter sido desativada e que as credenciais legadas não atendiam mais aos padrões de senha atuais. Em resposta ao incidente, a empresa tem:

Revogou as credenciais da conta do Teste Legado
Implantou um patch para fechar o terminal vulnerável
Lançou um programa de recompensa de insetos
Adicionado um contato público voltado para preocupações com segurança em segurança@paradox.ai

Em resposta, o McDonald’s emitiu uma declaração:

“Estamos decepcionados com essa vulnerabilidade inaceitável de um fornecedor de terceiros, Paradox.ai. Assim que soubemos do problema, exigimos paradoxo.ai para remediar o problema imediatamente e foi resolvido no mesmo dia em que nos foi relatado para atender a nosso compromisso de segurança cibernética e continuará a manter os terceiros que os prestadores de serviços de destaque nos atenderem a serem atendidos por segurança cibernética.

Um sinal do McDonald’s (Kurt “Cyberguy” Knutsson)

Foram realmente 64 milhões de aplicativos de emprego?

Relatórios iniciais sugeriram que a vulnerabilidade poderia ter exposto até 64 milhões de pedidos de emprego. No entanto, os pesquisadores nunca confirmaram esse número e a investigação da Paradox.Ai não encontrou nenhuma indicação de que ocorrava a eliminação de dados em larga escala. Os únicos registros acessados foram as sete amostras de bate -papo puxadas pelos pesquisadores para verificar o problema.

Entramos em contato com o paradox.ai, e um representante nos disse: “Nosso submit público deve servir como declaração oficial do Paradox. Ele fornece contexto, bem como alguns esclarecimentos de imprecisões publicadas em outras mídias”. Consistente com sua declaração, o Paradox.ai enfatizou que apenas cinco registros candidatos que contêm informações pessoais foram acessados pelos pesquisadores de segurança e não há evidências de uma violação em massa ou qualquer dados que seja twister público.

Embora a vulnerabilidade subjacente fosse actual, apenas um escopo muito limitado de dados foi realmente acessado, graças às ações dos pesquisadores e à rápida resposta do fornecedor.

Esses dados poderiam ter sido usados maliciosamente?

Embora os pesquisadores tenham acessado informações pessoais em cinco registros, não há evidências de que os atacantes explorassem esses dados. No entanto, hipoteticamente, esses dados podem ser usados para vários golpes, como:

Pesservendo os recrutadores para coletar mais informações pessoais
Entregando e -mails de phishing sob o disfarce de integrar
Direcionando os candidatos a emprego com ofertas de emprego falsas

A natureza dos dados expostos o torna sensível, mesmo que o escopo fosse limitado.

Obtenha negócios da Fox em movimento clicando aqui

6 etapas para proteger seus dados pessoais ao usar plataformas de contratação on -line

A violação do MCHIRE mostra com que facilidade as informações pessoais podem ser expostas quando as ferramentas de IA coletam dados de aplicação de trabalho. Essas seis etapas podem ajudá -lo a proteger suas informações antes, durante e depois de se inscrever.

1. Limite os dados pessoais que você compartilha

Compartilhe apenas as informações necessárias para concluir o aplicativo. Não forneça detalhes confidenciais, como seu número de segurança social, informações da conta bancária ou endereço residencial completo, a menos que você tenha certeza de que a plataforma é legítima e segura.

2. Obtenha um e -mail de alias para aplicativos de emprego

Um endereço de e -mail do Alias é um endereço de e-mail adicional que pode ser usado para receber e -mails na mesma caixa de correio do endereço de e-mail principal. Ele atua como um endereço de encaminhamento, direcionando e -mails para o endereço de e-mail principal. Ele também mantém sua busca de emprego organizada, ajuda você a identificar golpes Rapidamente e reduz os danos se uma empresa manipular seus dados.

Veja minha revisão dos melhores serviços de e-mail seguros e privados em Cyberguy.com/mail

3. Verifique se há HTTPs e bandeiras vermelhas

Antes de preencher qualquer formulário, verifique se o URL do website começa com https: // e se o website parece seguro e profissional. Evite plataformas ou bots que façam perguntas vagas ou repetitivas ou redirecionam você sem um motivo claro

4. Considere um serviço de remoção de dados

Incidentes como a violação de Mchire mostram com que facilidade os detalhes pessoais podem ser expostos-mesmo quando você pensa que está apenas se candidatando a um emprego. Um serviço de remoção de dados ajuda a reduzir sua pegada on-line, digitalizando centenas de websites de corretores de dados e solicitando a remoção de suas informações. Isso diminui o risco de seus dados pessoais vazarem, exploraram em golpes de phishing ou usados para representação.

Embora nenhum serviço prometa remover todos os seus dados da Web, ter um serviço de remoção é ótimo se você deseja monitorar e automatizar constantemente o processo de remoção de suas informações de centenas de websites continuamente por um período mais longo.

Confira minhas principais escolhas para serviços de remoção de dados e obtenha uma varredura gratuita para descobrir se suas informações pessoais já estão na Internet visitando Cyberguy.com/delete

Obtenha uma varredura gratuita para descobrir se suas informações pessoais já estão na Internet: Cyberguy.com/freescan

5. Use senhas fortes e exclusivas para contas de pesquisa de emprego

Se você criar contas sobre plataformas de contratação, evite reutilizar senhas de outros serviços. Uma senha fraca ou reutilizada pode facilitar os invasores para comprometer seus dados se um website for violado. Considere usar um gerenciador de senhas para gerar e armazenar senhas seguras.

Confira os melhores gerentes de senha revisados de especialistas de 2025 em Cyberguy.com/passwords

6. Monitor

Depois de se candidatar a empregos, fique alerta para e -mails ou textos que parecem “desligados”. Os golpistas costumam usar dados vazados para se passar por recrutadores ou empregadores, especialmente após violações de alto perfil. Cuidado com solicitações ou mensagens falsas de integração solicitando informações confidenciais, como detalhes bancários ou IDs. Em caso de dúvida, verifique diretamente com a empresa.

Clique aqui para obter o aplicativo Fox Information

O principal argumento de Kurt

Esse incidente foi um problema de segurança sério, mas limitado. Graças à divulgação responsável por pesquisadores e resposta rápida do Paradox.ai, a exposição estava contida a apenas cinco registros de candidatos e nenhum dado pessoal foi vazado ou mal utilizado. Dito isto, o evento é um lembrete: quando a IA está envolvida na contratação, a privacidade dos dados deve permanecer uma das principais preocupações. Mesmo pequenas supervisões, como uma conta de teste esquecida, podem colocar em risco os dados de pessoas reais.

Você acha que é necessária mais transparência das empresas quando seus dados estão envolvidos no processo de contratação? Informe -nos escrevendo -nos em Cyberguy.com/contact

Kurt “Cyberguy” Knutsson é um jornalista de tecnologia premiado que tem um profundo amor pela tecnologia, equipamento e devices que tornam a vida melhor com suas contribuições para a Fox Information & Fox Enterprise Mornings em “Fox & Buddies”. Tem uma pergunta tecnológica? Obtenha boletim informativo Cyberguy gratuito de Kurt, compartilhe sua voz, uma ideia de história ou comentário em Cyberguy.com.

fonte

McDonald’s AI contratando os dados expostos de chatbot de candidatos a emprego

O que os pesquisadores encontraram na plataforma de contratação de IA do McDonald’s?

Paradox.ai confirma o escopo da vulnerabilidade de segurança

O que McDonald’s e Paradox.ai estão fazendo agora

Foram realmente 64 milhões de aplicativos de emprego?

Esses dados poderiam ter sido usados maliciosamente?

6 etapas para proteger seus dados pessoais ao usar plataformas de contratação on -line

1. Limite os dados pessoais que você compartilha

2. Obtenha um e -mail de alias para aplicativos de emprego

3. Verifique se há HTTPs e bandeiras vermelhas

4. Considere um serviço de remoção de dados

5. Use senhas fortes e exclusivas para contas de pesquisa de emprego

6. Monitor

O principal argumento de Kurt

Recente

Andy Carroll se abre em Shock Dagenham e Redbridge Transfer e...

Ferry engolido em chamas com 280 a bordo, os passageiros saltam...

PS Plus Video games mensais para julho incluem Diablo IV, The...

Uma pessoa morta e dois ausentes após seis varreram a cachoeira...

Os texanos fazem com que os principais contratos se movam com...

Drake Bell revela que não recebe cheques residuais da Nickelodeon, revela...

Vivo TWS Air 3 Professional com ANC, até 47 horas Lançamento...

Superbugs podem matar milhões a mais e custar US $ 2TN...

Jon Jones ‘decepcionado’ pelos comentários de Dana White sobre o potencial...

Bonkers para Bananza, mas sem interruptor 2? Jogue o hit anterior...