Praticamente qualquer pessoa que tenha se candidatado a uma vaga no McDonald’s no início deste ano pode ter tido seu nome, número de telefone, e-mail, endereço físico e outras informações pessoais expostas. Pesquisadores de segurança conseguiram acessar com facilidade o sistema administrativo que gerencia as interações dos candidatos com o chatbot de IA generativa que conduz a maioria das entrevistas de emprego.

O pesquisador de segurança Ian Carroll conseguiu acessar uma conta administrativa da Paradox.ai — empresa responsável por desenvolver o entrevistador com IA do McDonald’s — usando “123456” como nome de usuário e senha. Ao examinar o código do site interno, foi possível obter rapidamente acesso ao texto bruto de todos os chats já realizados.

Em 90% das franquias do McDonald’s, as entrevistas de emprego são conduzidas pelo chatbot de IA da Paradox, chamado Olivia. A IA coleta nome, localização, e-mail, telefone, disponibilidade de horário e outras informações pessoais antes de aplicar testes básicos de personalidade. Supervisores humanos acessam essas informações por meio de contas administrativas da Paradox.

Embora o site de contratação do McDonald’s tente direcionar os usuários para um login unificado, Carroll notou um link em texto pequeno que levava a uma página separada de login para funcionários da Paradox. Surpreendentemente, essa página aceitava o nome de usuário e a senha padrão, revelando imediatamente o funcionamento interno do sistema.

Ao descobrir uma API no código do site, Carroll ajustou o parâmetro principal de uma requisição XHR de um chat de teste, o que deu acesso ao histórico de conversas da Olivia com 64 milhões de candidatos. Além dos dados pessoais, o vazamento também revelou tokens de autenticação e alterações no status de contratação.

Além disso, ao tentar alertar a Paradox sobre a falha, Carroll não conseguiu encontrar nenhum canal de contato para divulgação de vulnerabilidades. A página de segurança da empresa se limita basicamente a uma afirmação de que os usuários “não precisam se preocupar com segurança”. Depois de enviarem e-mails aleatórios, os pesquisadores finalmente obtiveram retorno, e Paradox e McDonald’s confirmaram que resolveram o problema no início de julho.

Carroll também notou que as respostas da Olivia eram bastante limitadas, o que virou motivo de piada online. Um usuário do Reddit compartilhou capturas de tela de uma conversa em que Olivia o redirecionava ao site de contratação da rede, que por sua vez o enviava de volta para o chatbot. Quando o candidato reclamou, a IA respondeu de forma sem sentido.

A contratação está longe de ser a única área onde o McDonald’s tem integrado IA às suas operações. Em março, a empresa anunciou planos para usar a tecnologia em áreas como administração, monitoramento de equipamentos, conferência de pedidos e outras tarefas. No ano passado, o McDonald’s encerrou testes com um sistema de drive-thru com IA desenvolvido pela IBM.

Apesar dos riscos óbvios de usar “123456” como senha, essa ainda aparece com frequência em listas de credenciais mais comuns.

• Veja também: CEO da Ford entra para a lista de executivos que alertam que a IA pode eliminar milhões de empregos administrativos

O autor: Marcelo Roncate

Redator desde 2019. Entusiasta de tecnologia e criptomoedas.