McDonald’s: Schwache Zugangsdaten legen 64 Millionen Bewerbungen offen

Eine Sicherheitslücke in der digitalen Bewerbungsplattform McHire hat persönliche Daten von über 64 Millionen McDonald’s-Bewerbern in den USA offengelegt. Wie Cybersicherheitsforscher Ian Carroll berichtet, war das Admin-Panel einer Test-Franchise lediglich durch die Standard-Zugangsdaten „123456“ gesichert – sowohl für Benutzername als auch Passwort.

McHire wird von der Firma Paradox.ai betrieben und kommt bei rund 90 Prozent der McDonald’s-Franchisenehmer zum Einsatz. Bewerber interagieren dabei mit einem Chatbot namens Olivia, der persönliche Daten wie Name, Adresse, Telefonnummer und Verfügbarkeiten erfasst. Zusätzlich führen die Nutzer Persönlichkeitstests durch, um ihre Eignung für bestimmte Positionen zu bestimmen.

Auf die Sicherheitslücke wurden die Forscher aufmerksam, nachdem Beschwerden über fehlerhafte Bot-Antworten in einem Reddit-Forum aufgetaucht waren. Die daraus resultierende Recherche offenbarte nicht nur technische Schwächen, sondern auch gravierende Mängel beim Datenschutz.

Feldversuch der Sicherheitsforscher: Bewerbung bei McDonald’s enthüllt fragwürdige Abläufe

Im Rahmen ihrer Recherchen entschieden sich die Sicherheitsforscher, selbst eine Bewerbung zu durchlaufen. Über die öffentlich zugängliche Website jobs.mchire.com konnten sie problemlos eine Stelle in der Nähe auswählen. Schon nach wenigen Klicks wurden sie an den Chatbot Olivia weitergeleitet, der die üblichen Informationen wie E-Mail-Adresse, Telefonnummer und Verfügbarkeiten abfragte. Direkt im Anschluss begann der nächste Schritt des Verfahrens: ein Persönlichkeitstest.

Dieser Test, durchgeführt von der Firma Traitify.com, hinterließ einen zwiespältigen Eindruck. Die Forscher mussten einschätzen, ob Aussagen wie „arbeitet gerne Überstunden“ auf sie zutreffen oder nicht. Zwar war leicht zu durchschauen, welche Antworten im Sinne des Arbeitgebers wünschenswert waren, dennoch wirkte das Verfahren irritierend und wenig transparent.

Nach Abschluss des Tests stoppte der Bewerbungsprozess unvermittelt. Offenbar war nun eine manuelle Überprüfung vorgesehen. Ein Versuch, den Chatbot Olivia erneut zu aktivieren, schlug fehl: Das System schien auf vordefinierte Antworten beschränkt und bot keine erkennbaren Schnittstellen oder Funktionen, mit denen Bewerber aktiv Einfluss auf den weiteren Verlauf nehmen konnten.

Zugang mit Standardpasswort: Wie Forscher Administratorrechte bei McHire erhielten

Die Sicherheitsforscher stießen auf eine zentrale Anmeldeseite für Restaurantbetreiber unter mchire.com/signin. Während die Seite augenscheinlich auf die Nutzung eines McDonald’s-SSO-Kontos ausgelegt war, entdeckten sie einen unauffälligen Link für „Paradox-Teammitglieder“ – offenbar gedacht für interne Mitarbeitende des Plattformanbieters Paradox.ai.

Ein einfacher Versuch mit dem Standardlogin „123456“ für Benutzername und Passwort führte überraschenderweise sofort zum Erfolg. Ohne weitere Hürden waren sie als Administratoren eines Testrestaurants im System angemeldet – mit voller Einsicht in interne Abläufe. Die angezeigten Mitarbeiterkonten gehörten sämtlich zu Paradox.ai, was den Zugriff zwar zunächst auf ein Testsystem begrenzte, gleichzeitig aber Aufschluss über die technische Funktionsweise von McHire bot.

Selbstbewerbung zur Analyse der Plattform

Um den Bewerbungsprozess auch aus Arbeitgebersicht nachzuvollziehen, reichten die Forscher eine Bewerbung über das Testsystem ein. Die Plattform zeigte dem „Restaurant“ die laufende Konversation mit Chatbot Olivia an, wobei der Arbeitgeber nach Abschluss bestimmter Phasen – etwa des Persönlichkeitstests – manuell eingreifen kann.

Während dieser Tests stießen sie auf eine bemerkenswerte Programmierschnittstelle: Die API PUT /api/lead/cem-xhr ermöglichte Zugriff auf Bewerberdaten durch simple Änderungen der sogenannten lead_id. Durch systematisches Herunterzählen dieser ID entdeckten sie echte Datensätze realer Bewerber – inklusive unmaskierter Kontaktinformationen, Bewerbungsstatus, Arbeitszeitpräferenzen und sogar Zugangstoken, mit denen sich der Bewerber-Account samt aller Chatnachrichten übernehmen ließ.

Offenlegung und Reaktion

Nach der Entdeckung des massiven Datenlecks versuchten die Forscher, das verantwortliche Unternehmen Paradox.ai zu kontaktieren – zunächst vergeblich. Auf der offiziellen Sicherheitsseite fanden sich weder Ansprechpartner noch Hinweise auf ein Responsible-Disclosure-Verfahren. Aus Mangel an Alternativen wandten sie sich an verschiedene zufällig ausgewählte Kontakte.

Erst nachdem die Nachricht die richtigen Stellen erreicht hatte, reagierte Paradox.ai: Das Unternehmen zeigte sich besorgt über die Tragweite der Schwachstelle, stellte die Lücke umgehend ab und kündigte zusätzliche interne Sicherheitsüberprüfungen an. Man betonte, dass der Schutz von Bewerber- und Kundendaten höchste Priorität habe.

Ausnutzen des IDOR-Fehlers, um McDonald’s-Bewerbungen einzusehen

Quelle: Ian Caroll

---