Una falla de seguridad en MCHIRE permitió el acceso a los datos del solicitante confidencial a través de credenciales de administración predeterminadas y una API vulnerable. El problema fue parcheado rápidamente después de la divulgación. Se encontró una supervisión de seguridad en la plataforma de contratación con IA McDonald’s «McHire» que expone datos de solicitantes confidenciales que pertenecen a hasta 64 millones de solicitantes de empleo. Descubierto a fines de junio de 2025 por los investigadores de seguridad Ian Carroll y Sam Curry, el problema fue un inicio de sesión administrativo predeterminado y una referencia de objeto directo inseguro (IDOR) en una API interna que permitió el acceso a los historiales de chat de los solicitantes con ‘Olivia’, el bot del reclutador automatizado de McHire. «La violación de McDonald’s confirma que incluso los sistemas de IA sofisticados pueden verse comprometidos por los supervisión de seguridad primaria», dijo Aditi Gupta, Gerente Senior de Consultoría de Servicios Profesionales en Black Duck. «La prisa por implementar una nueva tecnología no debe comprometer los principios de seguridad básicos. Las organizaciones deben priorizar las medidas de seguridad fundamentales para garantizar la confianza sin compromisos en su software, especialmente para el mundo cada vez más regulado y impulsado por IA». Los fallas, descubiertos durante una revisión de seguridad después de las quejas de los usuarios de Reddit sobre las «respuestas sin sentido» del bot, fueron resueltos de inmediato por McDonald’s y Paradox.ai (creador de Olivia) tras la divulgación. Los inicios de sesión predeterminados e IDOR conducen a fugas masivas de acuerdo con una publicación de blog de Carroll, la interfaz administrativa de MCHIRE para los franquiciados de restaurantes aceptó el nombre de usuario predeterminado «123456» y la contraseña «123456». Iniciar sesión con esas credenciales otorgó acceso inmediatamente, no solo a un entorno de prueba sino también a los paneles administrativos en vivo.
[ Related: Peeping into 73,000 unsecured security cameras thanks to default passwords]

«Aunque la aplicación intenta forzar el inicio de sesión único (SSO) para McDonald’s, hay un enlace más pequeño para los ‘miembros del equipo de paradoja’ que nos llamó la atención», dijo Carroll. «Sin pensarlo, ingresamos ‘123456’ como la contraseña y nos sorprendió ver que nos iniciamos de inmediato!» Una vez dentro, los investigadores también descubrieron un punto final API interno utilizando un parámetro predecible para obtener datos del solicitante. Simplemente disminuyendo el valor de identificación, Caroll y Curry recuperaron el solicitante completo PII, incluidas las transcripciones de chat, la información de contacto y los datos de forma de trabajo. Esta explotación IDOR expuso no solo los datos de contacto sino también las marcas de tiempo, las preferencias de cambio, los resultados de las pruebas de personalidad e incluso los tokens que podrían hacerse pasar por candidatos en MCHIRE. «Este incidente es un excelente ejemplo de lo que sucede cuando las organizaciones implementan tecnología sin comprender cómo funciona o cómo puede ser operado por usuarios no confiables», dijo el CEO de Evan Dornbush de Evan Dornbush. «Con los sistemas de IA que manejan millones de puntos de datos confidenciales, las organizaciones deben invertir en comprender y mitigar las amenazas preemergentes, o se encontrarán jugando, con la confianza de sus clientes en la línea». El parche rápido salvó el día después de la divulgación el 30 de junio de 2025, Paradox.ai y McDonald’s reconocieron la vulnerabilidad dentro de una hora. Para el 1 de julio, las credenciales predeterminadas estaban deshabilitadas y el punto final se aseguró. Paradox.ai también se comprometió a realizar más auditorías de seguridad, señaló Carroll en el blog. «A pesar de que no hay indicios de que los datos se hayan utilizado maliciosamente, la escala y la sensibilidad de la exposición podrían alimentar las campañas de phishing, smishing/salpicaduras e incluso de ingeniería social», dijo Randolph Barr, director de seguridad de la información en Cequence Security. «Combinado con herramientas de IA, los atacantes podrían crear amenazas increíblemente personalizadas y convincentes». McDonald’s no respondió de inmediato a las consultas enviadas por CSO. Paradox más tarde publicó su versión de eventos en su sitio web, diciendo que los investigadores de seguridad pudieron iniciar sesión en una cuenta de prueba de Paradox relacionada con una sola instancia de cliente de paradoja utilizando una contraseña heredada. «Estamos seguros de que, en base a nuestros registros, esta cuenta de prueba no fue accedida por un tercero que no sea los investigadores de seguridad», escribió el personal de Paradox, enfatizando: «En ningún momento la información de los candidatos se filtró en línea o se puso a disposición pública. Cinco candidatos en total tenían información vistos debido a este incidente, y solo fue visto por los investigadores de seguridad. Este incidente impactó una organización, ninguna otra organización paradox se vio impactada». «.». «.». Los lapsos de ciberseguridad se están volviendo cada vez más comunes en los entornos de reclutamiento, probablemente debido a un enfoque en la velocidad, la automatización y la escala a expensas de la seguridad. A principios de esta semana, se encontró que la plataforma de seguimiento de solicitantes en línea Talenthook se filtró casi 26 millones de archivos PII a través de un contenedor de almacenamiento de blob Azure mal configurado.