Ocorreu recentemente uma falha de segurança grave no site McHire.com, plataforma usada pelo McDonald’s — por meio da sua fornecedora Paradox.ai — para recrutar funcionários. A falha expôs dados pessoais de até 64 milhões de candidatos que se inscreveram para vagas na rede global. O caso foi revelado entre os dias 30 de junho e 1° de julho de 2025 por pesquisadores de segurança Ian Carroll e Sam Curry, que demonstraram como foi possível acessar o backend do sistema com extrema facilidade.
Eles descobriram duas vulnerabilidades críticas: primeiro, ao acessar uma área restrita destinada à equipe da Paradox.ai, encontraram credenciais de acesso padrão — “123456” para usuário e senha — que ainda estavam ativas no ambiente de produção. Com esse login, conseguiram acesso administrativo à plataforma McHire. Em seguida, perceberam uma falha do tipo IDOR (Insecure Direct Object Reference): ao alterar o número de identificação de um candidato, podiam acessar chats, currículos e dados de qualquer pessoa que já havia interagido com o chatbot “Olivia”.
Como resultado, nomes completos, e‑mails, telefones, endereços e conversas foram expostos — informação suficiente para potencialmente gerar golpes de phishing, fraudes bancárias, sequestro de identidade e outras fraudes usando informações de candidatos que, em sua grande maioria, buscavam uma oportunidade de emprego. Embora não haja confirmação de exploração maliciosa antes da identificação dos problemas, os danos em potencial justificam extrema preocupação e rigor na resposta das empresas envolvidas.
A Paradox.ai reconheceu oficialmente a falha, afirmando que o acesso indevido foi restrito aos pesquisadores que observaram a brecha, e que os problemas foram corrigidos rapidamente. Os administradores revogaram o acesso padrão no mesmo dia da notificação (30 de junho) e corrigiram o endpoint vulnerável via API até 1° de julho. Além disso, anunciaram a criação de um programa de bug bounty para prevenir vulnerabilidades semelhantes no futuro.
O McDonald’s também se manifestou publicamente. Em nota republicada por diversos veículos, a rede declarou estar “desapontada” com a falha de segurança por parte da fornecedora e reforçou que exigiu a correção imediata — que foi implementada no mesmo dia da comunicação. A empresa ressaltou ainda o compromisso com a segurança cibernética e a exigência de que os prestadores de serviços atendam aos seus padrões rigorosos.
No Brasil, até o momento, não há relatos de exposição específica de dados de candidatos a vagas no McDonald’s brasileiro. Nenhuma fonte local ou nacional reportou vazamento dos cadastros de trabalhadores no Brasil. Porém, como a plataforma McHire é usada globalmente — inclusive no país — é possível que dados de residentes brasileiros possam ter sido afetados indiretamente, embora não tenhamos confirmação pública de incidentes no Brasil.
Essa falha reforça vários pontos críticos:
- Importância de boas práticas de segurança, como não usar credenciais padrão, forçar senhas robustas e monitorar acessos administrativos.
- Rigor no desenvolvimento de APIs, evitando falhas como IDOR que permitem acesso indevido aos dados.
- Vigilância constante em plataformas que lidam com IA e dados pessoais, ainda mais em sistemas de RH, que coletam informações sensíveis desde o primeiro contato.
O que você pode fazer se usou a McHire ou se suspeita ter sido afetado
- Verifique seu e‑mail: fique atento a mensagens suspeitas de recrutadores falsos. Em caso de dúvidas, confirme diretamente com o McDonald’s ou a agência oficial.
- Redobre os cuidados com phishing: não clique em links desconhecidos, não compartilhe código de verificação e alerte bancos sobre mensagens incomuns.
- Solicite remoção de dados: procure suporte da Paradox.ai ou McDonald’s e exija que seus dados sejam apagados do sistema, conforme as leis de proteção de dados (LGPD no Brasil).
- Troque senhas: se usou a mesma senha do McHire em outros serviços, mude imediatamente.
- Monitoramento de crédito: procure serviços de proteção ao consumidor no Brasil caso suspeite de uso indevido de seus dados.
- Denuncie: registre boletim de ocorrência e reclame na Autoridade Nacional de Proteção de Dados (ANPD).
- Use canais oficiais: entre em contato com McDonald’s e Paradox.ai via SAC ou site oficial.