Sicherheitslücke bei McDonald's: KI-Bot legt Millionen Bewerberdaten offen

| Technologie Technologie

Ein eklatanter Sicherheitsmangel auf der von McDonald's genutzten Bewerbungsplattform "McHire" hat die persönlichen Daten von Millionen Jobsuchender gefährdet. Die vom KI-Softwareunternehmen Paradox.ai entwickelte Plattform wies derart grundlegende Schwachstellen auf, dass Hacker über ein Administrator-Konto mit dem Passwort "123456" auf sensible Informationen zugreifen konnten.

Die Sicherheitsforscher Ian Carroll und Sam Curry deckten auf, wie einfach es war, in das Backend der McHire-Plattform einzudringen. Sie fanden heraus, dass simple webbasierte Lücken es ihnen ermöglichten, auf die Datenbanken zuzugreifen. Diese enthielten sämtliche Chat-Protokolle des Bots "Olivia", der Bewerber filtert und persönliche Daten wie Namen, E-Mail-Adressen und Telefonnummern abfragt. Berichten zufolge sind bis zu 64 Millionen Datensätze betroffen.

Ian Carroll erklärte, die Idee zur Untersuchung sei ihm gekommen, als er die "einzigartig dystopische" Erfahrung der Bewerbung über einen KI-Chatbot nachvollziehen wollte. "Nach 30 Minuten hatten wir vollen Zugriff auf praktisch jede Bewerbung, die jemals bei McDonald's eingereicht wurde, über Jahre hinweg", so Carroll.

Sowohl McDonald's als auch Paradox.ai bestätigten die Ergebnisse. Paradox.ai versicherte, dass nur ein Bruchteil der Datensätze persönliche Informationen enthielt und das betroffene Administrator-Konto außer den Forschern von keiner Drittpartei unbefugt genutzt wurde. Das Unternehmen kündigte ein "Bug Bounty"-Programm an, um zukünftige Sicherheitslücken zu vermeiden. "Wir nehmen diese Angelegenheit nicht auf die leichte Schulter", so Stephanie King, Chief Legal Officer von Paradox.ai.

McDonald's schob die Verantwortung auf den Drittanbieter: "Wir sind enttäuscht über diese inakzeptable Schwachstelle von Paradox.ai. Das Problem wurde noch am selben Tag behoben", hieß es in einer Stellungnahme.

Die Sicherheitsforscher warnen, dass die offengelegten Daten, obwohl nicht hochsensibel, ein massives Phishing-Risiko darstellen könnten. Betrüger könnten sich als McDonald's-Recruiter ausgeben und beispielsweise Bankdaten für die Gehaltsabrechnung anfordern.

 

Zurück

Vielleicht auch interessant

Starbucks hat die Nutzung eines Programms auf KI-Basis zur automatisierten Erfassung von Warenbeständen in den USA wieder eingestellt. Berichten zufolge wies die Anwendung erhebliche Mängel auf.

Weiterlesen

Google erweitert seine KI-Suche um neue Buchungs-, Zahlungs- und Informationsfunktionen. Branchenberichte sehen mögliche Folgen für Sichtbarkeit, Vertrieb und Reichweite von Hotels und Reiseanbietern.

Weiterlesen

Eine neue Smart-Host-Studie unter 87 Hotels aus der DACH-Region zeigt deutliche Unterschiede zwischen strategischen Zielen und operativer Umsetzung bei Gästebindung, Zusatzumsätzen und Direktbuchungen.

Weiterlesen

Eine repräsentative Umfrage im Auftrag von a&o zeigt, dass viele europäische Reisende Künstliche Intelligenz als Unterstützung bei der Buchung befürworten. Vollständig automatisierte Buchungsprozesse werden hingegen mehrheitlich abgelehnt.

Weiterlesen

Google erweitert sein Universal Commerce Protocol um Hotelbuchungen via KI. Während OTAs tief eingebunden bleiben und große Ketten direkte Schnittstellen nutzen wollen, wächst der Druck auf eigenständige Hotels: Ihre Sichtbarkeit hängt künftig wohl davon ab, wie präzise KI-Agenten die eigenen Datenstrukturen auslesen können.

Weiterlesen

Haften Chatbot-Betreiber für unwahre KI-Aussagen? Ja, sagt das OLG Hamm in einem aktuellen Urteil zu einer Klinik. Auch das LG Hamburg hatte im Zusammenhang mit Chatbot Grok schon so entschieden.

Weiterlesen

Das Südtiroler Unternehmen Profitize hat eine Seed-Finanzierung über 1,4 Millionen Euro abgeschlossen. Das Kapital soll laut Mitteilung in den Ausbau der Plattform und die Expansion in weitere europäische Märkte fließen.

Weiterlesen

25 Prozent aller Unternehmen in Deutschland haben im vergangenen Jahr auf Künstliche Intelligenz zurückgegriffen. In zwei Jahren hat sich dieser Anteil verfünffacht. Die große Mehrheit der Betriebe nutzte dabei frei zugängliche Software.

Weiterlesen

Das Branchen-Event Hotelrizon 2026 findet am 18. Juni 2026 am Blackfoot Beach statt. Veranstaltet wird das Treffen von DIRS21 und ibelsa, die das Format zum dritten Mal ausrichten. Die Veranstaltung richtet sich gezielt an Hoteliers und Entscheider aus der Privathotellerie, insbesondere an inhabergeführte und mittelständische Betriebe. Auch der DEHOGA ist mit an Bord.

Weiterlesen

Google Maps zeigt seit Ende April 2026 in Deutschland an, wie viele Rezensionen gelöscht wurden. Ein LinkedIn-Beitrag von Hotelier Marco Nußbaum greift die Neuerung und deren mögliche Wirkung auf Nutzerwahrnehmung auf.

Weiterlesen