McDonalds “schützte” Daten von 64 Millionen Menschen mit “123456”

Wer sich bei McDonald's für einen Job im Restaurant oder im Management bewirbt, muss im Rahmen der Online-Bewerbung eine Reihe von Fragen beantworten. Ein Chatbot namens „Olivia“ will wissen, wie man heißt, wo man wohnt und welche Schichten man bevorzugen würde. Auch Persönlichkeitstests sind Teil des Bewerbungsprozesses. 

Die Daten von insgesamt 64 Millionen Bewerbern und Bewerberinnen sind bei McDonald's allerdings nicht sicher aufgehoben, wie Sicherheitsforscher herausgefunden haben. Sie entdeckten im Bewerbungssystem eine gravierende Sicherheitslücke.

➤ Mehr lesen: Diese dummen Passwörter werden am häufigsten verwendet

Zugang zu Bewerberdaten kaum geschützt

Mehr als 90 Prozent aller Filialen wickeln ihre Bewerbungen über die Plattform McHire.com ab. Deren Administratorenbereich war jedoch lediglich mit dem Passwort „123456“ geschützt. Es reichte also, den Benutzernamen und dieses leicht zu erratende Passwort zu kennen. Sicherheitsexperten würden von so einer Passwortwahl natürlich dringend abraten.

Einmal eingeloggt, konnten die Sicherheitsforscher auf eine Vielzahl von Bewerbungsprofilen zugreifen. Dabei erhielten sie Einsicht in Namen, Adressen, Bewerbungsstatus sowie Kontaktinformationen wie E-Mail-Adressen und Telefonnummern.

Datenfutter für Kriminelle

Auf seinem Blog erklärt der beteiligte Experte Ian Carroll, dass Kriminelle solche Daten etwa für Phishing-Attacken oder andere Scams missbrauchen könnten. Wachsam sein sollten daher all jene, die sich irgendwann bei McDonald's beworben haben – denn man weiß nicht, wer sich womöglich Zugriff auf die Daten verschafft hat.

➤ Mehr lesen: Auch lange Passwörter können geknackt werden: So schützt man sich

McDonald's teilte mittlerweile mit, dass die Sicherheitslücke geschlossen wurde. Künftig sollen strengere Passwortanforderungen gelten. Zudem will man den Zugang zu sensiblen Daten neu regeln.