A inteligência artificial, dizem-nos, promete transformar radicalmente o futuro do trabalho. Mas, como agora se tornou evidente, nem mesmo os sistemas mais avançados estão imunes às mais básicas falhas humanas. Foi o que demonstrou um embaraçoso incidente com a McHire, a plataforma de recrutamento automatizado da McDonald’s, onde uma combinação de um nome de utilizador e palavra-passe ridiculamente genéricos — “123456” — permitia o acesso irrestrito a dados sensíveis de milhões de candidatos a emprego.
O problema foi descoberto no final de Junho de 2025 pelos investigadores de segurança Ian Carroll e Sam Curry, dois nomes respeitados na comunidade da cibersegurança, após queixas no Reddit sobre respostas incoerentes do chatbot da plataforma — a “Olivia”, uma assistente virtual criada pela empresa de software Paradox.ai. O que começou como uma curiosidade técnica rapidamente evoluiu para uma revelação alarmante: a vulnerabilidade expunha dados pessoais de até 64 milhões de candidatos, incluindo contactos, preferências de turnos, testes de personalidade e históricos de conversa.
No centro do problema estavam duas falhas técnicas básicas: uma conta administrativa com credenciais por defeito — literalmente 123456 como nome de utilizador e palavra-passe — e uma vulnerabilidade do tipo IDOR (Insecure Direct Object Reference), que permitia aceder a dados privados apenas alterando um número sequencial num URL.
Com o acesso garantido, bastava manipular o identificador num endpoint da API interna para recuperar os dados completos de qualquer candidato. A dimensão da exposição era tal que qualquer cibercriminoso poderia, com ferramentas automatizadas, construir perfis altamente personalizados para campanhas de phishing, engenharia social ou até fraude de identidade.
Esta falha foi comunicado a 30 de Junho e corrigida menos de 24 horas depois pela Paradox.ai, que desativou as credenciais vulneráveis e reforçou a segurança do sistema. Em comunicado publicado no seu site, a empresa garantiu que “nenhuma informação foi publicada online” e que “apenas cinco registos foram efetivamente visualizados — e apenas pelos investigadores”. Contudo, não deixa de ser significativo que um sistema em produção estivesse acessível através de credenciais tão básicas.
A McDonald’s reagiu com prontidão, mas atribuiu responsabilidade à Paradox.ai: “Estamos dececionados com esta vulnerabilidade inaceitável num fornecedor externo”, afirmou a multinacional. “Assim que soubemos do problema, exigimos a sua correção imediata. A situação foi resolvida no próprio dia.”
Este não é um caso isolado. Apenas dias antes, outra plataforma de recrutamento, a TalentHook, viu expostos 26 milhões de ficheiros pessoais através de uma configuração incorreta no serviço Azure. A transformação digital dos processos de recrutamento, alimentada por inteligência artificial e automatização, está a avançar a um ritmo que a segurança não está a conseguir acompanhar.
Apesar de a Paradox.ai afirmar que nenhum dado foi acedido por terceiros mal-intencionados, o episódio levanta sérias dúvidas sobre a maturidade dos sistemas de IA no que toca à proteção de dados. A facilidade com que Carroll e Curry acederam a milhões de registos levanta questões fundamentais: que testes de segurança são realizados antes de colocar um sistema como este em produção? E como é que uma empresa como a McDonald’s, com presença global e vastos recursos, permitiu uma falha tão básica?
Mais do que um incidente técnico, este caso coloca um espelho à forma como empresas globais estão a delegar decisões humanas a algoritmos opacos, muitas vezes mal compreendidos e pior supervisionados.
Se é verdade que a automação pode tornar os processos mais eficientes, também é certo que não pode ser feita à custa da dignidade, da privacidade e da confiança dos candidatos. A IA poderá estar a revolucionar o recrutamento, mas como este episódio demonstrou de forma contundente, nenhuma revolução tecnológica vale uma porta aberta com a palavra-passe “123456”.