McDonald’s dał ciała, wyciekły dane osobowe. Winne hasło 123456
Ponad 64 mln kandydatów do pracy w sieci McDonald’s w USA mogło paść ofiarą poważnego wycieku danych osobowych. Wszystko przez stosowanie najgłupszego hasła świata.
Miliony kandydatów do pracy w sieci restauracji McDonald’s w Stanach Zjednoczonych mogły paść ofiarą poważnego wycieku danych osobowych. Winę za ten incydent ponosi zadziwiająco słabe zabezpieczenie panelu administracyjnego platformy rekrutacyjnej McHire, używanej przez sieć McDonald’s.
Badacze bezpieczeństwa Ian Carroll i Sam Curry odkryli, że dostęp do panelu platformy był chroniony domyślnym loginem 123456 i takim samym hasłem 123456. McHire to narzędzie wykorzystywane przez około 90% restauracji franczyzowych McDonald’s w USA. Za pośrednictwem tej platformy kandydaci przesyłają swoje dane osobowe, takie jak imię, nazwisko, adres e-mail, numer telefonu, adres zamieszkania czy dyspozycyjność. Co więcej, kandydaci w ramach procesu ubiegania się o pracę muszą również wykonać test osobowości.
Po zalogowaniu się do panelu badacze złożyli testowo podanie o pracę, aby zobaczyć, jak działa ten proces. Okazała się, że interfejs API platformy pozwalał na pobieranie rozmów i danych innych kandydatów poprzez prostą zmianę numeru identyfikatora lead_id w adresie HTTP. W praktyce wystarczyło zgadnąć lub znać numer lead_id, by uzyskać dostęp do cudzych danych osobowych, pełnych transkrypcji czatów czy tokenów sesji. Co istotne, nawet kliknięcie w przycisk chatbota, bez podania żadnych danych osobowych, mogło skutkować ujawnieniem informacji o interakcji użytkownika z systemem. Skala zagrożenia jest ogromna – szacuje się, że narażonych mogły być ponad 64 mln kandydatów.
Luka została zgłoszona 30 czerwca 2025 roku, a McDonald’s zareagował bardzo szybko, dezaktywując domyślne dane logowania w ciągu godziny. Firma Paradox.ai, która jest dostawcą narzędzia McHire, tego samego dnia wdrożyła poprawkę usuwającą opisywaną podatność i zapowiedziała kompleksowy przegląd zabezpieczeń. McDonald’s w oficjalnym oświadczeniu całą winą za ten błąd obarczył Paradox.ai jako zewnętrznego dostawcę systemu rekrutacyjnego, jednak nie da się ukryć, że sam też jest odpowiedzialny za tę gigantyczną wpadkę.
Incydent pokazuje, że nawet największe korporacje mogą paść ofiarą szkolnych błędów, jak używanie domyślnych czy zbyt prostych haseł. Hasło 123456 jest wymieniane przez ekspertów od bezpieczeństwa jako najpowszechniej używane, najłatwiejsze do przechwycenia, a jego stosowanie uważane jest za poważny błąd. Problem dotyczy także naszego kraju. Z tegorocznych danych wynika, że hasłem 123456 posługuje się ponad 13 tys. Polaków, którzy w tak słaby sposób (nie)zabezpieczają swoje konta pocztowe czy do różnych usług. Do jego złamania wystarczy sekunda.
