Dois investigadores de segurança descobriram uma falha grave num chatbot usado no recrutamento de novos funcionários da McDonald’s. A vulnerabilidade permitia aceder a dados pessoais de 64 milhões de candidatos, bastando usar o nome de utilizador e a palavra-passe "123456".
O problema foi identificado numa análise rápida ao sistema McHire, fornecido pela empresa Paradox.ai. Além da palavra-passe fraca, os investigadores também encontraram outra falha numa API interna que permitia consultar conversas anteriores dos candidatos com o chatbot.
A Paradox.ai diz ter corrigido o problema "em poucas horas" após o alerta - não que isso signifique muito, afinal, mudar uma password é algo que se faz em poucos segundos - e assegurou que nenhuma informação foi divulgada publicamente ou exposta online. Resta esperar que esta garantia de que os dados não foram acedidos indevidamente tenha sido resultado de uma análise cuidada, e não apenas seguindo o primeiro passo no manual de "como lidar com roubos de dados", em que inicialmente se emite o relato de que não há indícios que indiquem ter havido acessos; e depois, mais tarde, digam que afinal pode ter havido alguns acessos; e mais tarde ainda, só depois dos dados terem começado a circular na net e já não houver forma de o negar, é que confessem que afinal foram acedidos.
Sem comentários:
Enviar um comentário (problemas a comentar?)