McDonald's nutzt miesestes Passwort aller Zeiten für sensible Daten

Ein fataler Sicherheitsfehler bei McDonalds hat sensible Daten von über 64 Millionen Bewerbern gefährdet. Sicherheitsforscher entdeckten, dass der Fast-Food-Gigant sein Bewerbungssystem mit dem vermeintlich schlechtesten Passwörter aller Zeiten 'schützte'.

Katastrophale Sicherheitslücke bei McDonald's

Erst letztes Jahr war es zu einem weltweiten IT-Ausfall bei McDonald's gekommen. Zudem hatte sich der Fast-Food-Riese zuletzt unrühmlich durch eklatante IT-Sicherheitslücken in seinem McDelivery-System hervorgetan. Jetzt haben Forscher ein weiteres, noch ernsthafteres Sicherheitsproblem im Bewerbungssystem des Unternehmens gefunden. Dadurch waren sensible personenbezogene Daten von 64 Millionen Bewerbern leicht einzusehen. Der Grund ist dabei haarsträubend.

Amateurhafte Sicherheitsvorkehrungen

Über 90 Prozent der McDonald's-Filialen nutzen die Plattform McHire.com für ihre Personalbeschaffung, auf der Bewerber mit einem Chatbot namens "Olivia" kommunizieren, der von der Firma Paradox.ai entwickelt wurde. Olivia sammelt persönliche Informationen, wie Name, Adresse und Schichtpräferenzen der Bewerber, und führt sogar Persönlichkeitstests durch.


Sicherheitsforscher Ian Carroll enthüllte nun Ende Juni 2025 zusammen mit seinem Kollegen Sam Curry eine gravierende Sicherheitslücke im KI-gestützten Rekrutierungssystem. Was die Forscher entdeckten, war erschreckend. Denn das System war so mangelhaft geschützt, dass praktisch jeder Zugriff auf die sensiblen Daten von Millionen Bewerbern hätte erlangen können.

Passwort "123456" schützte Millionen Datensätze

Die Sicherheitsforscher konnten sich in den Administratorbereich der Plattform einloggen und persönliche Informationen über McDonald's-Bewerber einsehen, indem sie einfach die beliebtesten Kombinationen von Benutzernamen und Passwörtern ausprobierten. Mit dem Passwort und Benutzernamen "123456" hatten sie direkt Erfolg. Eine sogenannte "Insecure Direct Object Reference" (IDOR)-Schwachstelle in der McHire-API ermöglichte zudem den Zugriff auf eine Fülle persönlicher Informationen aus jeder Chat-Interaktion mit Personen, die sich bei McDonald's beworben hatten.

Zu den exponierten Daten gehörten Namen, E-Mail-Adressen, Telefonnummern, Adressen, Bewerbungsstatus, Formulareingaben wie bevorzugte Schichten und sogar Authentifizierungstokens. Wie Ian Carroll in seinem Blog berichtet, entdeckte er die Schwachstelle, als er zu Beschwerden auf Reddit über Olivias "unsinnige Antworten" recherchierte.

Ich dachte, es sei ziemlich einzigartig dystopisch im Vergleich zu einem normalen Einstellungsprozess. Ich begann, mich für einen Job zu bewerben, und nach 30 Minuten hatten wir vollen Zugriff auf praktisch jede Bewerbung, die jemals bei McDonald's eingegangen ist, bis etliche Jahre in die Vergangenheit zurück.

Phishing-Gefahr für Millionen von Bewerbern

Die Dimension der Datenpanne ist gewaltig und betrifft potenziell 60 bis 64 Millionen Bewerbungen. Das schiere Ausmaß der möglicherweise kompromittierten Daten ist erschreckend. Wie Experten betonen, könnten diese Daten in den falschen Händen Millionen von Bewerber Phishing-Betrug und Identitätsdiebstahl aussetzen.

Sam Curry hebt die besonderen Risiken hervor: "Hätte das jemand ausgenutzt, wäre das Phishing-Risiko tatsächlich massiv gewesen. Es geht nicht nur um die persönlich identifizierbaren Informationen und Lebensläufe der Menschen. Es sind Informationen von Personen, die nach einem Job bei McDonald's suchen, Menschen, die begierig auf E-Mail-Antworten warten. Wenn man eine Art Gehaltsabrechnungsbetrug durchführen wollte, wäre das ein guter Ansatzpunkt."

Das Passwort "123456" und seine Fortsetzungen stehen seit Jahren an der Spitze der Listen der am häufigsten verwendeten und unsichersten Passwörter weltweit. Cy­ber­si­cher­heits­ex­per­ten warnen regelmäßig vor der Verwendung solcher simplen Zahlenkombinationen, da sie innerhalb von Sekunden geknackt werden. Selbst deutlich komplexere Passwörter werden mithilfe moderner Hardware wie der RTX 5090 heutzutage innerhalb von Minuten entschlüsselt.

Reaktion auf die Sicherheitslücke

Nach der Offenlegung am 30. Juni 2025 bestätigten Paradox.ai und McDonald's die Schwachstelle innerhalb einer Stunde. Bis zum 1. Juli wurden die Standardanmeldedaten deaktiviert und der Endpunkt gesichert. Paradox.ai verpflichtete sich auch, weitere Sicherheitsaudits durchzuführen, wie Carroll in seinem Blog vermerkt.

Als Reaktion auf die Datenpanne hat Paradox.ai neue Sicherheitsmaßnahmen implementiert, darunter aktualisierte Passwortanforderungen und API-Endpoint-Patches. Das Unternehmen startet außerdem ein Bug-Bounty-Programm, um zukünftige Schwachstellen zu identifizieren, und hat eine spezielle Sicherheitskontakt-E-Mail eingerichtet.

Was meint ihr zu diesem gravierenden Sicherheitsvorfall? Hättet ihr gedacht, dass ein Weltkonzern wie McDonald's so nachlässig beim Thema Datenschutz agiert? Und sollten Unternehmen für ein solch fahrlässiges Verhalten zur Verantwortung gezogen werden? Teilt eure Meinung in den Kommentaren!

Download Bitwarden - Open-Source Passwort-Manager Download KeePass - Passwort-Sammlungs-Tool
Siehe auch: