McDonald's KI-Einstellungstool McHire hat Daten von 64 Millionen Arbeitssuchenden durchsickern lassen

Schwerwiegende Sicherheitslücke im KI-Personalbeschaffungstool McHire von McDonald's legte 64 Millionen Bewerbungen offen. Entdecken Sie, wie eine IDOR-Sicherheitslücke und schwache Standardanmeldeinformationen zu einem massiven Datenleck führten und wie Paradox.ai diese Lücke schnell schließen konnte.
Eine Sicherheitslücke in McHire, der KI-gestützten Rekrutierungsplattform, die von der überwiegenden Mehrheit der McDonald's-Franchisenehmer genutzt wird, legte die persönlichen Daten von über 64 Millionen Bewerbern offen. Die von den Sicherheitsforschern Ian Carroll und Sam Curry entdeckte Schwachstelle ermöglichte unbefugten Zugriff auf sensible Daten wie Namen, E-Mail-Adressen, Telefonnummern und Privatadressen.
Die Untersuchung begann, nachdem auf Reddit Berichte über den von Paradox.ai entwickelten McHire -Chatbot namens Olivia aufgetaucht waren, der seltsame Antworten lieferte. Die Forscher entdeckten schnell zwei kritische Schwachstellen. Erstens akzeptierte der Administrator-Login für Restaurantbesitzer auf McHire leicht zu erratende Standard-Anmeldedaten: „123456“ für Benutzername und Passwort. Diese einfache Eingabe gewährte den Restaurantbesitzern Administratorzugriff auf ein Test-Restaurantkonto innerhalb des Systems.
Das zweite und schwerwiegendere Problem war eine unsichere direkte Objektreferenz (IDOR) auf einer internen API. Eine IDOR bedeutet, dass jeder mit einem McHire-Konto durch einfaches Ändern einer Nummer in einer Webadresse (in diesem Fall einer Lead-ID, die mit Bewerber-Chats verknüpft ist) auf vertrauliche Informationen aus den Chat-Interaktionen anderer Bewerber zugreifen kann.
Laut ihrem Blog-Beitrag stellten die Forscher fest, dass sie dadurch Details aus Millionen von Bewerbungen einsehen konnten, darunter auch unverschlüsselte Kontaktinformationen und sogar Authentifizierungstoken, mit denen sie sich als die Bewerber selbst anmelden und ihre unverarbeiteten Chatnachrichten einsehen konnten.
Die McHire-Plattform, erreichbar über https://jobs.mchire.com/
, führt Arbeitssuchende durch einen automatisierten Prozess, einschließlich eines Persönlichkeitstests von Traitify.com. Bewerber interagieren mit Olivia und geben ihre Kontaktdaten und Schichtpräferenzen an.
Bei der Beobachtung einer Testanwendung des Restaurantbesitzers stießen die Forscher auf die anfällige API. Ihnen fiel eine Anfrage zum Abrufen von Kandidateninformationen auf (PUT /api/lead/cem-xhr
, die eine lead_id
verwendete, die geändert werden konnte, um die Daten anderer Bewerber anzuzeigen.
Als die Forscher das enorme Ausmaß der potenziellen Datenfreigabe erkannten, leiteten sie umgehend Offenlegungsverfahren ein. Sie kontaktierten Paradox.ai und McDonald's am 30. Juni 2025 um 17:46 Uhr ET.
McDonald's bestätigte den Bericht kurz darauf, und am 30. Juni 2025 um 19:31 Uhr ET waren die standardmäßigen Administratoranmeldeinformationen nicht mehr funktionsfähig. Paradox.ai bestätigte, dass die Probleme bis zum 1. Juli 2025 um 22:18 Uhr ET vollständig behoben waren. Beide Unternehmen bekräftigten nach der schnellen Behebung dieser kritischen Sicherheitslücke ihr Engagement für die Datensicherheit.
„Dieser Vorfall ist eine Erinnerung daran, dass Unternehmen sich selbst und Millionen von Benutzern unnötigen Risiken aussetzen, wenn sie KI ohne angemessene Aufsicht überstürzt in kundenorientierte Arbeitsabläufe einführen“, sagte Kobi Nissan , Mitbegründer und CEO von MineOS, einem globalen Unternehmen für Datenschutzmanagement.
„Das Problem ist hier nicht die KI selbst, sondern der Mangel an grundlegender Sicherheitshygiene und Governance. Jedes KI-System, das personenbezogene Daten sammelt oder verarbeitet, muss denselben Datenschutz-, Sicherheits- und Zugriffskontrollen unterliegen wie zentrale Geschäftssysteme“, erklärte Kobi.
„Das bedeutet Authentifizierung, Überprüfbarkeit und Integration in umfassendere Risiko-Workflows, nicht isolierte Implementierungen, die unbemerkt bleiben. Mit zunehmender Akzeptanz müssen Unternehmen KI nicht als Neuheit, sondern als reguliertes Gut betrachten und Rahmenbedingungen implementieren, die von Anfang an Rechenschaftspflicht gewährleisten“, riet er.
HackRead