Thought Leadership
Sicherheitsforscher haben eine gravierende Schwachstelle im KI-gestützten Bewerbungssystem von McDonald’s aufgedeckt. Mit dem simplen Passwort “123456” verschafften sie sich Administratorzugang zu Millionen von Bewerberdaten.
Die IT-Sicherheitsexperten Ian Carroll und Sam Curry wollten am Montag, dem 30. Juni, eigentlich nur einen harmlosen Penetrationstest am KI-Chatbot von McDonald’s durchführen. Was sie dabei entdeckten, übertraf ihre kühnsten Erwartungen: In nur 30 Minuten hatten sie “vollen Zugriff auf praktisch jede Bewerbung, die jemals bei McDonald’s eingegangen ist – und das über Jahre hinweg”, berichtete Carroll gegenüber dem Magazin Wired.
Triviale Anmeldedaten als Einfallstor
Der Weg zum Datenschatz war erschreckend einfach: Während ihrer Interaktion mit “Olivia”, dem von Paradox.ai entwickelten KI-Bewerbungsassistenten, stießen die Forscher auf einen Login-Link für Mitarbeiter auf der Website McHire.com. Beim ersten Versuch probierten sie Standard-Anmeldedaten aus – und landeten bereits beim zweiten Anlauf einen Volltreffer.
Benutzername und Passwort (“123456”) gewährten ihnen sofort Administratorrechte für die gesamte Bewerbungsplattform. Von dort aus war es nur noch ein kleiner Schritt zu den sensiblen Daten: Namen, E-Mail-Adressen und Telefonnummern sämtlicher Bewerber ließen sich durch simples Durchprobieren verschiedener Bewerber-ID-Nummern abrufen.
Bis zu 64 Millionen Datensätze betroffen
Nach Angaben der Forscher könnten bis zu 64 Millionen Bewerberdatensätze von der Sicherheitslücke betroffen gewesen sein. Die schiere Menge an zugänglichen Informationen verdeutlicht das Ausmaß des Datenschutzverstoßes bei einem der weltweit größten Fast-Food-Konzerne.
Carroll und Curry veröffentlichten ihre Erkenntnisse am Mittwoch in ihrem Blog und informierten gleichzeitig die betroffenen Unternehmen über die Schwachstelle.
Paradox.ai übernimmt Verantwortung
Das Technologieunternehmen Paradox.ai, das die KI-Lösung für McDonald’s bereitstellt, reagierte prompt auf die Enthüllung. In einem eigenen Blog-Post bestätigte das Unternehmen die Sicherheitslücke und versicherte, dass außer den beiden Forschern keine weiteren Akteure Zugang zu den Daten erhalten hätten.
“Wir nehmen diese Angelegenheit nicht auf die leichte Schulter, auch wenn sie schnell und effektiv behoben wurde”, erklärte Stephanie King, Justiziarin bei Paradox.ai, gegenüber Wired. “Wir stehen zu unserer Verantwortung.”
Als Konsequenz aus dem Vorfall kündigte Paradox.ai die Einführung eines “Bug-Bounty-Programms” an, um künftig systematische Sicherheitsforschung zu betreiben und Schwachstellen proaktiv zu identifizieren.
McDonald’s distanziert sich von Dienstleister
McDonald’s selbst wies jegliche Schuld von sich und machte ausschließlich den Technologiepartner für den Vorfall verantwortlich. In einer schriftlichen Stellungnahme an Wired betonte der Konzern seine Enttäuschung über die “inakzeptable Schwachstelle” des Drittanbieters.
“Wir sind enttäuscht von dieser inakzeptablen Schwachstelle eines Drittanbieters, Paradox.ai. Sobald wir von dem Problem erfuhren, haben wir Paradox.ai angewiesen, das Problem sofort zu beheben, und es wurde noch am selben Tag behoben, an dem es uns gemeldet wurde”, heißt es in der Erklärung.
Der Fast-Food-Riese betonte gleichzeitig sein Bekenntnis zur Cybersicherheit und kündigte an, auch künftig “Drittanbieter zur Verantwortung zu ziehen, um unsere Standards für den Datenschutz zu erfüllen”.
