Bei McDonald's wird's mal wieder unappetitlich - diesmal nicht beim Burger, sondern bei der IT-Sicherheit. 64 Millionen Bewerberdaten waren über Monate hinweg öffentlich einsehbar. Warum? Weil das Admin-Passwort offenbar „123456“ lautete. Kein Scherz.
Betroffen ist die Recruiting-Plattform McHire.com, auf der Bewerber ihre Daten über einen KI-Chatbot namens „Olivia“ eingeben. Namen, Adressen, Telefonnummern, E-Mail-Adressen, Schichtwünsche, Persönlichkeitstests - alles fein säuberlich gespeichert. Und für Sicherheitsforscher Ian Carroll und Sam Curry auch komplett offen zugänglich, als sie mal testweise ein paar Standard-Login-Daten ausprobierten. Ergebnis: Vollzugriff. Innerhalb von 30 Minuten.
Und damit nicht genug: Eine IDOR-Schwachstelle in der API der Plattform erlaubte es, tief in die Bewerbungshistorie reinzuschauen - Jahre zurück. Selbst Authentifizierungstokens waren einsehbar. Wer also ein bisschen böswillig unterwegs gewesen wäre, hätte nicht nur die Daten massenhaft absaugen, sondern gezielte Phishing-Attacken auf Jobsuchende starten können. Carroll beschreibt es selbst als „ziemlich einzigartig dystopisch“.
McDonald's und Paradox.ai, die Firma hinter Olivia, reagierten immerhin schnell. Innerhalb von 24 Stunden wurden die Standard-Zugänge deaktiviert und neue Sicherheitspatches eingespielt. Dazu kündigte Paradox ein Bug-Bounty-Programm an. Hätte man vielleicht auch schon vor dem millionenfachen Datenschutz-Super-GAU machen können.
Für Bewerber ist das Ganze ein Albtraum. Sie haben nicht nur persönliche Daten preisgegeben, sondern tun das in einem besonders verletzlichen Moment - dem der Jobsuche. Das macht sie zum perfekten Ziel für Phishing, Identitätsdiebstahl und andere Schweinereien.
Und ja, „123456“ ist wieder einmal der Star der Passwort-Hölle. Laut Passwortstudien taucht diese Kombination seit Jahren ganz oben in den Charts auf. Wer so etwas 2025 noch im produktiven Betrieb verwendet, sollte vielleicht keine Plattform für Millionen Menschen betreiben.
Kommentare (0)