Por que confiar no Greenbot
Pesquisadores de segurança conseguiram quebrar o sistema de inteligência artificial (IA) de contratação do McDonald’s em 30 minutos usando uma das senhas mais comuns do mundo, expondo detalhes pessoais de milhões de candidatos a emprego em fast-food globalmente.
Na quarta-feira, Ian Carroll e Sam Curry descobriram a brecha massiva de segurança após adivinhar credenciais de administrador na plataforma McHire. O sistema, alimentado pelo chatbot de IA “Olivia,” processa candidaturas para 90% das franquias McDonald’s globalmente.
“Eu apenas pensei que era bastante singularmente distópico comparado a um processo normal de contratação”, disse Carroll à WIRED. “Então comecei me candidatando a um emprego, e depois de 30 minutos, tínhamos acesso total a virtualmente toda candidatura já feita ao McDonald’s há anos.”
Os pesquisadores acessaram o backend usando “123456” como nome de usuário e senha. Encontraram conta de teste esquecida de 2019 que a Paradox.ai, empresa de software por trás do McHire, nunca desativou.
Informações pessoais em risco incluíam nomes, endereços de email, números telefônicos e logs de chat com bot de IA. O sistema também armazenava resultados de testes de personalidade que revelavam detalhes íntimos sobre hábitos de trabalho e traços pessoais dos candidatos.
Carroll descreveu a descoberta como caminhar “para dentro de cofre destrancado.” A vulnerabilidade permitia qualquer um ver registros de candidatos simplesmente mudando números de ID no endereço web do sistema.
Esta exposição de dados cria riscos sérios para candidatos a emprego. Criminosos poderiam usar informações para golpes de phishing, posando como recrutadores do McDonald’s para roubar detalhes financeiros para configurações falsas de depósito direto.
“Se alguém tivesse explorado isso, o risco de phishing teria sido realmente massivo”, alertou pesquisador Sam Curry. “São essas informações para pessoas procurando emprego no McDonald’s, pessoas ansiosas e esperando emails de volta.”
McDonald’s Austrália, que contrata mais de 11.000 trabalhadores anualmente, confirmou que milhares de candidatos locais foram afetados. A empresa culpou Paradox.ai pela “vulnerabilidade inaceitável.”
“Estamos desapontados por esta vulnerabilidade inaceitável de um provedor terceirizado”, disse porta-voz do McDonald’s Austrália. “Assim que soubemos do problema, mandamos Paradox.ai remediar o problema imediatamente, e foi resolvido no mesmo dia que nos foi reportado.”
Paradox.ai reconheceu a brecha em post público de blog. Diretora jurídica Stephanie King disse que a empresa assume responsabilidade total.
“Não levamos este assunto levianamente, mesmo tendo sido resolvido rápida e efetivamente”, disse King à WIRED. “Assumimos isso.”
A plataforma foi corrigida em horas após relatório dos pesquisadores em julho de 2025. Paradox.ai confirmou que nenhum ator malicioso acessou dados antes da correção.
A brecha afeta pessoas já lutando no mercado de trabalho. Muitos candidatos do McDonald’s são trabalhadores jovens ou aqueles buscando posições de nível inicial que podem ser mais suscetíveis a golpes de recrutamento.
Além de riscos de fraude, a exposição poderia envergonhar candidatos. Logs de chat revelaram lutas pessoais e motivações compartilhadas com IA durante processo de candidatura.
O incidente ocorreu enquanto mais empresas adotam IA para contratação. Sistemas similares são usados por varejistas australianos Bunnings e Woolworths, levantando questões sobre segurança em plataformas automatizadas de recrutamento.
Paradox.ai anunciou programa de recompensa por bugs para capturar vulnerabilidades futuras. A empresa enfatizou que pesquisadores acessaram apenas sete registros totais, com cinco contendo informação pessoal.
Especialistas em segurança alertam que a brecha demonstra como adoção apressada de IA frequentemente negligencia medidas básicas de cibersegurança. A falha envolveu erros elementares como senhas padrão e controles de acesso ausentes que nunca deveriam ocorrer em sistemas lidando com dados sensíveis.
