No passado mês de junho, dois investigadores da área da cibersegurança descobriram que a plataforma de recrutamento com chatbot da McDonald’s, designada de Olivia/McHire, estava protegida por credenciais padrão extremamente fracas.
Plataforma usada pelo McDonald’s tinha utilizador e password 123456
De acordo com as informações, em cerca de 30 minutos, os investigadores obtiveram acesso administrativo e apresentaram de imediato a violação a Paradox.ai (responsável pela plataforma) e à McDonald’s.
Estima-se que cerca de 64 milhões de candidaturas estavam expostas. Os registos tinham informações como nomes, e‑mails, endereços, telefones, preferências de turnos e as conversas completas com o chatbot Olivia.
A exposição foi agravada por uma vulnerabilidade adicional (IDOR), que permitia navegar pelas candidaturas apenas alterando o parâmetro lead_id nas chamadas à API.
De referir que a plataforma estava protegida por credenciais padrão extremamente frágeis: username: 123456 e password: 123456.
No mesmo dia que foram alertados (em 30 de junho de 2025), a Paradox.ai e o McDonald’s desativaram o acesso com as credenciais padrão “123456”.