Pesquisadores de segurança descobriram uma falha básica que permitia qualquer pessoa acessar milhões de dados de candidatos a vagas de emprego do McDonald ‘s. Ian Carroll e Sam Curry revelaram o problema na última quarta-feira (09), que afeta a plataforma de aplicação McHire, para oportunidades na gigante dos fast foods.
- Em diversas franquias, o McHire funciona por meio da Olivia, um bot que coleta informações pessoais, preferências e realiza testes de personalidade;
- A tecnologia foi criada pela Paradox.AI, e os pesquisadores ficaram interessados em testes a plataforma após reclamações de respostas bizarras pela IA;
- Durante os testes de segurança, foi descoberto que a plataforma aceita senhas básicas, como “123456” para acessar inúmeras informações da Olivia;
- Também foi encontrada uma brecha de uma API interna que permitia acessar quaisquer contatos e chats que os pesquisadores quisessem.
Segundo Carroll e Curry, a vulnerabilidade gigantesca na plataforma faz com que qualquer pessoa acesse dados pessoais de mais de 64 milhões de usuários que aplicaram seus currículos pelo McHire. O processo não demandou conhecimentos técnicos, e bastou a dupla realizar login no site pela opção “Paradox team members”, inserir a senha, e ter acesso generalizado.
- Confira:
O mais interessante dessa situação é que Carroll e Curry só encontraram a brecha por curiosidade por conta do estranho comportamento da IA Olivia. “Então comecei a me candidatar a um emprego e, depois de 30 minutos, tivemos acesso total a praticamente todos os pedidos feitos ao McDonald ‘s nos últimos anos”, explica Ian Carroll.
Para mais informações sobre segurança e tecnologia, fique ligado no site do TecMundo.