En junio de 2025, investigadores de seguridad descubrieron una grave vulnerabilidad en McHire, la plataforma de selección de personal de McDonald’s gestionada por el chatbot de IA Olivia, desarrollado por Paradox.ai. El acceso al panel administrativo de un entorno de prueba estaba protegido únicamente con las credenciales por defecto “123456”, un error de seguridad básico que consiste en mantener activa una cuenta de prueba con una contraseña trivial y sin medidas como autenticación multifactor.
Este fallo, combinado con otra vulnerabilidad técnica (IDOR), permitió visualizar registros de hasta 64 millones de solicitudes de empleo, incluyendo datos personales como nombres, correos electrónicos, teléfonos y transcripciones de entrevistas virtuales. La filtración afectó a solicitantes de diferentes países, multiplicando el alcance del incidente.
Paradox.ai desactivó la cuenta vulnerable el mismo día que fue alertado y anunció un programa de recompensas por detección de fallos. McDonald’s calificó el incidente de “inaceptable” y reforzará sus exigencias de seguridad a proveedores. El caso evidencia cómo un descuido elemental en la configuración puede desencadenar una brecha masiva, incluso en entornos con tecnologías avanzadas como la inteligencia artificial.
Referencias
- Would you like an IDOR with that? Leaking 64 million McDonald’s job applications
- McDonald’s AI Hiring Bot Exposed Millions of Applicants’ Data to Hackers Who Tried the Password ‘123456’
- McDonald’s sufre una filtración masiva de datos por un error de seguridad básico
- McDonald's AI hiring chatbot exposed data of 64 million applicants with "123456" password