Системы McDonald's взломали из-за пароля "123456": данные 64 миллионов человек были под угрозой

Александр Гайдамашко

Основные тезисы

Исследователи обнаружили серьезные уязвимости в системе найма McDonald's, что поставили под угрозу данные более 64 миллионов человек.
Компания Paradox.ai быстро устранила проблему после сообщения. Данные не были получены злоумышленниками.

Уязвимость в McDonald's - как AI-бот поставил под риск данные миллионов

Данные 64 миллионов человек оказались под угрозой из-за слабого пароля в системах McDonald's / Unsplash

Недавно обнаруженная уязвимость в системе найма McDonald's шокировала мир кибербезопасности. Чат-бот на основе искусственного интеллекта, который должен был упрощать процесс подачи заявок на работу, из-за элементарной ошибки в безопасности поставил под угрозу личные данные десятков миллионов людей. Речь идет об именах, адресах и других чувствительных сведениях, которые могли попасть в чужие руки.

К счастью, "взлом" системы произошел так называемыми белыми хакерами, то есть исследователями кибербезопасности, которые ищут уязвимости в интернете, чтобы сообщить о них разработчикам и быстро устранить. Если бы к этому пробелу добрались преступники, последствия были бы масштабными, пишет 24 Канал со ссылкой на TechCrunch.

Как взломали McDonald's?

В июле 2025 года исследователи кибербезопасности Иан Кэрролл и Сэм Карри обнаружили серьезные недостатки в платформе McHire, которую использует McDonald's для найма работников. Эта система, разработана компанией Paradox.ai, применяется в 90% франчайзинговых ресторанов сети. Основная проблема заключалась в том, что административный доступ к аккаунту можно было получить, используя логин и пароль "123456". Это позволило исследователям войти в систему как администраторы и просматривать внутренние данные.

Кроме слабого пароля, была обнаружена еще одна уязвимость – незащищенный API-интерфейс. Благодаря этому исследователи смогли получить доступ к чатам между кандидатами и ботом Olivia, просматривая личную информацию, такую как имена, электронные адреса, номера телефонов, домашние адреса и детали заявок, например, желаемые изменения для работы. В целом под угрозой оказались данные, связанные с более 64 миллионами заявок на работу в McDonald's.

Эта уязвимость не требовала сложных хакерских навыков. Исследователи отметили, что обнаружили проблему в течение нескольких часов поверхностного анализа. Они также получили доступ к токенам аутентификации, которые могли позволить войти в систему от имени самих кандидатов и просматривать их личные чаты.

Компания среагировала

После обнаружения проблемы исследователи немедленно сообщили о ней Paradox.ai и McDonald's. Компания Paradox.ai подтвердила, что уязвимость была устранена в течение нескольких часов после получения сообщения. Они также отметили, что данные не были обнародованы или использованы злоумышленниками, а доступ к ним получили только исследователи.

Представители McDonald's, в свою очередь, выразили разочарование из-за халатности разработчиков. Они заявили, что сразу после получения информации о проблеме требовали ее немедленного исправления. Компания подчеркнула, что серьезно относится к кибербезопасности и продолжит требовать от своих партнеров соблюдения высоких стандартов защиты данных.

Последствия и риски

Хотя нет доказательств того, что данные были использованы злоумышленниками, потенциальные риски остаются значительными. Исследователи отмечают, что доступ к такому количеству личных данных мог бы стать основой для масштабных фишинговых атак. Например, злоумышленники могли бы выдавать себя за рекрутеров McDonald's и требовать от кандидатов финансовую информацию под видом оформления зарплатного счета.

Этот инцидент также поднимает более широкие вопросы о безопасности AI-систем, которые обрабатывают чувствительные данные. Использование искусственного интеллекта в рекрутинге становится все более популярным, но без надлежащих мер безопасности такие платформы могут стать легкой мишенью для киберпреступников. Простые ошибки, например использование стандартных паролей или недостаточная защита API, могут привести к катастрофическим последствиям.