»Nach 30 Minuten hatten wir vollen Zugang« – Sicherheitsexperten brauchen nur ein mieses Passwort, um bei McDonald’s an Millionen Bewerberdaten zu kommen

Hacker hätten bei McDonald's ein leichtes Spiel gehabt, um an Millionen von Daten zu kommen. (Bildquelle: mehaniq41 , Adobe Stock)

Zwei Sicherheitsforscher haben die KI-Bewerberplattform McHire von McDonalds überprüft. Nur eine halbe Stunde hätten sie nach eigenen Angaben gebraucht, um persönliche Daten von Millionen Bewerbern der letzten Jahre zu erhalten.

Und das alles nur wegen eines schwachen Passworts.

Massives Datenleck bei McDonald's Bewerbungsbot

Wer sich heute bei McDonald's bewirbt, wird laut Wired wahrscheinlich Bekanntschaft mit Olivia machen. Der KI-Chatbot, der von der Firma Paradox.ai entwickelt wurde, interviewt anstelle eines echten Menschen Bewerber.

Bei McDonald's ist er mittlerweile zentraler Bestandteil von McHire.com, der Online-Plattform, über die viele Franchise-Nehmer ihre Jobbewerbungen verwalten. IT-Sicherheitsexperte Ian Carroll fand diesen Bewerbungsprozess einzigartig dystopisch und bewarb sich kurzerhand selbst auf eine Stelle:

Dafür brauchte er mit seinem Kollegen Sam Curry nicht besonders viel Hacker-Geschick:

1. Auf der Plattform McHire stießen sie auf einen Anmeldelink, der offenbar speziell für Mitarbeiter von Paradox.ai gedacht war.
2. Für das Administratorkonto probierten sie den Namen admin und das Passwort 123456 und scheiterten. Der Erfolg kam mit 123456 – sowohl als Passwort als auch als Benutzername.
3. Dort konnten sie dann auch ihre eigene Bewerbung, die sie zuvor eingeschickt hatte, sehen, die mit einer ID-Nummer im Bereich von 64 Millionen lag.
4. Von ihrer eigenen Bewerber-ID zählten sie einfach herunter und kamen so auf reale Bewerbungsunterlagen von echten Bewerbern.

Offenbar waren die IDs der Unterlagen so angelegt, dass die Nummer 1 dem ersten Bewerber zugeordnet ist, die Nummer 2 dem zweiten und so weiter. Daraus schließen Carroll und Curry, dass sie hypothetisch Zugang zu Daten von rund 64 Millionen Bewerbern gehabt hätten.

Ebenfalls besonders bitter: Trotz des schwachen Passworts hätte eine einfache 2-Faktor-Authentifizierung gereicht, um den Zugang zu den Daten zu vereiteln.

2-Faktor-Authentifizierung

Wie kann man den Microsoft Authenticator auf ein neues Handy übertragen? Hier ist die Antwort

von Krystian Pieniazek

McDonald's gibt Softwarefirma die Schuld

Auf Anfrage von Wired schiebt McDonald's die Schuld Paradox.ai zu, man sei enttäuscht von dieser inakzeptablen Schwachstelle des Drittanbieters.

Paradox.ai räumt in einem Blogbeitrag die Schuld ein und gibt an, dass es sich bei dem Account, zu dem sich Curry und Carroll Zugang verschaffen konnten, um einen Test-Account handle, in den sich seit 2019 niemand mehr eingeloggt hatte.

Gegenüber Wired geben die beiden Sicherheitsforscher an, dass es sich bei den Bewerberdaten nicht um die sensibelsten wie Sozialversicherungsnummern gehandelt hätte. Dennoch betonen sie, wie angreifbar die Geschädigten durch die gesamte Situation seien:

Hätte sich also ein Betrüger Zugang zu den Daten verschafft, wäre es ein Leichtes gewesen, sich etwa als Recruiter von McDonald's auszugeben und den Bewerber dazu aufzufordern, etwa Finanzinformationen anzugeben, um Gehaltseinzahlungen zu ermöglichen.

Aktuell auf GAMESTAR TECH

Ihr könnt sie spielend lösen, aber an dieser Aufgabe aus der 8. Klasse scheitern ChatGPT & Co. reihenweise

von Nils Raettig

Ich habe zwei Wochen lang mein High-End-Handy gegen ein Einsteigergerät getauscht und bei einem wichtigen Feature gewinnt das günstige Smartphone sogar

von Duy Linh Dinh

Was meint ihr dazu? Hat vielleicht auch schon jemand von euch Bekanntschaft mit dem Bewerbungsbot Olivia gemacht? Und findet ihr, dass McDonald's mehr Verantwortung für die Sicherheit der Daten seiner Bewerber zu übernehmen oder hat hier nur Paradox.ai auf ganzer Linie versagt? Schreibt uns eure Meinung und Erfahrungen in die Kommentare!