Se você deseja um emprego no McDonald’s hoje, há uma boa chance de que você precise falar com Olivia. Olivia não é, na verdade, um ser humano, mas sim um chatbot de IA que verifica os candidatos, pede suas informações de contato e currículo, os direciona para um teste de personalidade e, ocasionalmente, os faz “enlouquecer” ao repetidamente entender errado suas perguntas mais básicas.
Até a semana passada, a plataforma que executa o chatbot Olivia, construído pela empresa de software de inteligência artificial Paradox.ai, também sofria de falhas de segurança absurdamente básicas. Como resultado, praticamente qualquer hacker poderia ter acessado os registros de todas as conversas que Olivia já havia tido com os candidatos do McDonald’s – incluindo todas as informações pessoais que compartilharam nessas conversas – com truques tão simples como adivinhar que o nome de usuário e senha de uma conta de administrador eram “123456”.
Na quarta-feira, os pesquisadores de segurança Ian Carroll e Sam Curry revelaram que encontraram métodos simples para hackear o backend da plataforma de chatbot de IA em McHire.com, site do McDonald’s que muitos de seus franqueados usam para lidar com as inscrições para emprego. Carroll e Curry, hackers com um longo histórico de testes de segurança independentes, descobriram que vulnerabilidades web simples – incluindo adivinhar uma senha extremamente fraca – permitiram que acessassem uma conta da Paradox.ai e consultassem as bases de dados da empresa que continham todas as conversas dos usuários McHire com Olivia. Os dados parecem incluir até 64 milhões de registros, incluindo nomes, endereços de e-mail e números de telefone dos candidatos.
Carroll diz que descobriu essa falta de segurança alarmante em torno das informações dos candidatos porque estava intrigado com a decisão do McDonald’s de submeter potenciais novas contratações a um screening de chatbot de IA e teste de personalidade. “Eu apenas pensei que era bastante distópico em comparação com um processo de contratação normal, certo? E isso me fez querer investigar mais”, diz Carroll. “Então comecei a me candidatar a um emprego e, após 30 minutos, tínhamos acesso completo a praticamente todas as inscrições feitas no McDonald’s ao longo dos anos.”
Quando a WIRED entrou em contato com o McDonald’s e a Paradox.ai para comentar, um porta-voz da Paradox.ai compartilhou uma postagem no blog que a empresa planejava publicar confirmando as descobertas de Carroll e Curry. A empresa observou que apenas uma fração dos registros acessados por Carroll e Curry continham informações pessoais e disse ter verificado que a conta de administrador com a senha “123456” que expôs as informações “não foi acessada por terceiros” além dos pesquisadores. A empresa também acrescentou que está instituindo um programa de recompensas por bugs para detectar melhor vulnerabilidades de segurança no futuro. “Não encaramos esse assunto de forma leviana, mesmo que tenha sido resolvido rapidamente e efetivamente”, disse a diretora jurídica da Paradox.ai, Stephanie King, à WIRED em uma entrevista. “Assumimos a responsabilidade por isso.”
Em seu próprio comunicado à WIRED, o McDonald’s concordou que a Paradox.ai era a culpada. “Estamos desapontados com essa vulnerabilidade inaceitável de um provedor de terceiros, Paradox.ai. Assim que tomamos conhecimento do problema, exigimos que a Paradox.ai corrigisse imediatamente e isso foi resolvido no mesmo dia em que nos foi reportado”, diz o comunicado. “Levamos a sério nosso compromisso com a segurança cibernética e continuaremos a responsabilizar nossos fornecedores terceirizados por atender aos nossos padrões de proteção de dados.”
