Sicherheitslücke bei McDonald's: KI-Bot legt Millionen Bewerberdaten offen

| Technologie Technologie

Ein eklatanter Sicherheitsmangel auf der von McDonald's genutzten Bewerbungsplattform "McHire" hat die persönlichen Daten von Millionen Jobsuchender gefährdet. Die vom KI-Softwareunternehmen Paradox.ai entwickelte Plattform wies derart grundlegende Schwachstellen auf, dass Hacker über ein Administrator-Konto mit dem Passwort "123456" auf sensible Informationen zugreifen konnten.

Die Sicherheitsforscher Ian Carroll und Sam Curry deckten auf, wie einfach es war, in das Backend der McHire-Plattform einzudringen. Sie fanden heraus, dass simple webbasierte Lücken es ihnen ermöglichten, auf die Datenbanken zuzugreifen. Diese enthielten sämtliche Chat-Protokolle des Bots "Olivia", der Bewerber filtert und persönliche Daten wie Namen, E-Mail-Adressen und Telefonnummern abfragt. Berichten zufolge sind bis zu 64 Millionen Datensätze betroffen.

Ian Carroll erklärte, die Idee zur Untersuchung sei ihm gekommen, als er die "einzigartig dystopische" Erfahrung der Bewerbung über einen KI-Chatbot nachvollziehen wollte. "Nach 30 Minuten hatten wir vollen Zugriff auf praktisch jede Bewerbung, die jemals bei McDonald's eingereicht wurde, über Jahre hinweg", so Carroll.

Sowohl McDonald's als auch Paradox.ai bestätigten die Ergebnisse. Paradox.ai versicherte, dass nur ein Bruchteil der Datensätze persönliche Informationen enthielt und das betroffene Administrator-Konto außer den Forschern von keiner Drittpartei unbefugt genutzt wurde. Das Unternehmen kündigte ein "Bug Bounty"-Programm an, um zukünftige Sicherheitslücken zu vermeiden. "Wir nehmen diese Angelegenheit nicht auf die leichte Schulter", so Stephanie King, Chief Legal Officer von Paradox.ai.

McDonald's schob die Verantwortung auf den Drittanbieter: "Wir sind enttäuscht über diese inakzeptable Schwachstelle von Paradox.ai. Das Problem wurde noch am selben Tag behoben", hieß es in einer Stellungnahme.

Die Sicherheitsforscher warnen, dass die offengelegten Daten, obwohl nicht hochsensibel, ein massives Phishing-Risiko darstellen könnten. Betrüger könnten sich als McDonald's-Recruiter ausgeben und beispielsweise Bankdaten für die Gehaltsabrechnung anfordern.

 

Zurück

Vielleicht auch interessant

Der Blackfoot Beach in Köln verwandelte sich am Donnerstag zum zweiten Mal in einen Treffpunkt der deutschen Hotellerie. Das Hotelrizon-Festival versammelte bei strahlendem Sonnenschein und sommerlichen Temperaturen mehr als 200 Hoteliers, Technologieanbieter und Vordenker, um gemeinsam über die aktuellen Fragen der Branche zu diskutieren.

Weiterlesen
Pressemitteilung

 IDeaS, ein SAS-Unternehmen und weltweit führender Anbieter von Revenue-Management-Software sowie -Dienstleistungen für die Hotellerie, hat eine strategische Partnerschaft mit dem Münchner Beratungsunternehmen berner+becker vereinbart. berner +becker bietet outgesourctes Revenue-Management für Hotels und gehört zu den größten Unternehmen seiner Art in der DACH-Region.

Weiterlesen
Pressemitteilung

Die neue Open API better.integrations von Betterspace vernetzt in Bürogebäuden, Kommunen, Krankenhäusern, Pflegeheimen, Hotels und anderen Nichtwohngebäuden auf einfache Weise digitale Daten. Bislang getrennte Systeme wie Energiemanagement, Raumverwaltung sowie Buchungssysteme lassen sich mit wenigen Schritten zu einer effizienten Einheit zusammenführen.

Weiterlesen

Anstatt sich auf die klassische Google-Stichwortsuche zu verlassen, erhalten potenzielle Gäste zunehmend personalisierte Empfehlungen, die auf maschinellem Lernen, Echtzeitdaten und generativer KI basieren. Für Hoteliers bedeutet dies einen Paradigmenwechsel.

Weiterlesen
Pressemitteilung

Die Hotel-Tech Branche feiert dieses Jahr in der Tiroler Hauptstadt Innsbruck. Matthias Trenkwalder und sein Team beim Revenue Management System RateBoard feiern 2025 das 10-jährige Jubiläum und veröffentlichen zum Geburtstag das innovative Benchmarking-Feature für die Ferienhotellerie.

Weiterlesen
Pressemitteilung

Was, wenn ein System komplexe Probleme in Echtzeit analysieren, fundierte Entscheidungen treffen und echte Entlastung für Teams schaffen könnte? Diese Frage stellt das exklusive Event THE ANSWER. ONLY 42 WILL KNOW. am 12. August 2025 in Leipzig und verspricht nicht weniger als den Blick auf das "Next Big Thing" der Branche.

Weiterlesen

Die Deutsche Hotelklassifizierung geht mit der Einführung von MeineSterne.eu einen entscheidenden Schritt in Richtung Digitalisierung. Die neue Online-Plattform soll den Klassifizierungsprozess für Hotels erheblich vereinfachen und effizienter gestalten.

Weiterlesen

Die AI-Lösung Onsai hat den Branchen-Award für Start-ups 2025 des Hotelverbandes Deutschland gewonnen. Eine Jury aus IHA-Vertretern und Venture-Capital-Experten hat aus den eingegangenen Bewerbungen vier Start-ups ausgewählt, die jetzt um den Gewinn „pitchen“ durften. 

Weiterlesen
Pressemitteilung

Zahlreiche Tourismusbetriebe setzen auf die modulare E-Commerce-Plattform von incert eTourismus – für zusätzliche Einkünfte, eine aktive Gästebindung und die Stärkung der eigenen Marke. 

Weiterlesen

Mews, die führende Hospitality-Cloud-Plattform, hat in Deutschland, Österreich und der Schweiz eine Marktdurchdringung von 15 % erreicht. Über 6.000 Hotels in der DACH-Region setzen inzwischen auf die cloudbasierte Lösung – ein beeindruckendes Wachstum von 600 % innerhalb der vergangenen zwölf Monate.

Weiterlesen