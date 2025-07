Miliony kandydatów do pracy w sieci restauracji McDonald’s w Stanach Zjednoczonych mogły paść ofiarą poważnego wycieku danych osobowych. Winę za ten incydent ponosi zadziwiająco słabe zabezpieczenie panelu administracyjnego platformy rekrutacyjnej McHire, używanej przez sieć McDonald’s.

Badacze bezpieczeństwa Ian Carroll i Sam Curry odkryli, że dostęp do panelu platformy był chroniony domyślnym loginem 123456 i takim samym hasłem 123456. McHire to narzędzie wykorzystywane przez około 90% restauracji franczyzowych McDonald’s w USA. Za pośrednictwem tej platformy kandydaci przesyłają swoje dane osobowe, takie jak imię, nazwisko, adres e-mail, numer telefonu, adres zamieszkania czy dyspozycyjność. Co więcej, kandydaci w ramach procesu ubiegania się o pracę muszą również wykonać test osobowości.

Po zalogowaniu się do panelu badacze złożyli testowo podanie o pracę, aby zobaczyć, jak działa ten proces. Okazała się, że interfejs API platformy pozwalał na pobieranie rozmów i danych innych kandydatów poprzez prostą zmianę numeru identyfikatora lead_id w adresie HTTP. W praktyce wystarczyło zgadnąć lub znać numer lead_id, by uzyskać dostęp do cudzych danych osobowych, pełnych transkrypcji czatów czy tokenów sesji. Co istotne, nawet kliknięcie w przycisk chatbota, bez podania żadnych danych osobowych, mogło skutkować ujawnieniem informacji o interakcji użytkownika z systemem. Skala zagrożenia jest ogromna – szacuje się, że narażonych mogły być ponad 64 mln kandydatów.

Luka została zgłoszona 30 czerwca 2025 roku, a McDonald’s zareagował bardzo szybko, dezaktywując domyślne dane logowania w ciągu godziny. Firma Paradox.ai, która jest dostawcą narzędzia McHire, tego samego dnia wdrożyła poprawkę usuwającą opisywaną podatność i zapowiedziała kompleksowy przegląd zabezpieczeń. McDonald’s w oficjalnym oświadczeniu całą winą za ten błąd obarczył Paradox.ai jako zewnętrznego dostawcę systemu rekrutacyjnego, jednak nie da się ukryć, że sam też jest odpowiedzialny za tę gigantyczną wpadkę.