Sicherheitsforschern gelang es, sich mit dem Passwort „123456“ Zugang zur HR-Plattform McHire des Fast-Food-Unternehmens McDonald’s zu verschaffen. Auf diese Weise waren bis zu 64 Millionen Datensätze zugänglich. McDonald’s schiebt die Verantwortung zwar auf den beauftragten Dienstleister. Allerdings: Mit einer sinnvoll durchgeführten Due Diligence wäre es erst gar nicht zu diesem Datenleck bei McDonald’s gekommen. Worauf Unternehmen achten sollten und wie Ailance dabei hilft, solche Risiken zu vermeiden.
Wie konnte es zu dem Datenleck bei McDonald’s kommen?
McDonald’s setzt in den USA für Bewerbungsverfahren auf seiner Plattform McHire.com einen KI-Chatbot namens Olivia ein. Olivia sammelt unter anderem Kontaktinformationen und Lebensläufe und steuert auch Persönlichkeitstests vor der Einladung zu persönlichen Gesprächen. Das HR-Portal wird vom Dienstleister Paradox.ai betrieben, der auch Olivia entwickelt hat.
Sicherheitsforscher haben sich den Chatbot und die Seite McHire.com genauer angeschaut. Zunächst versuchten die Sicherheitsexperten, sich auf McHire.com als McDonald’s-Filiale Zugang zu verschaffen. Dabei entdeckten sie die Möglichkeit, sich als Paradox-Mitarbeiter einzuloggen. Wie sich herausstellen sollte, war genau das eine gravierende Schwachstelle. Denn ein veralteter Admin-Zugang war mit dem Passwort „123456“ (identisch für Benutzername und Passwort) ohne weitere Zwei-Faktor-Authentifizierung öffentlich zugänglich. Über diesen Zugang konnten die Sicherheitsforscher mit wenig Aufwand auf sensible Bewerberdaten zugreifen. Bis zu 64 Millionen Datensätze waren über die API abrufbar.
Die Plattform verarbeitet eine Vielzahl personenbezogener Daten, darunter:
- Vor- und Nachname
- Telefonnummer
- E-Mail-Adresse
- Bewerbungsstatus
- Persönlichkeitsanalyse-Ergebnisse
- Vollständige Chatverläufe mit Olivia
- Eventuell gespeicherte Anhänge (z. B. Lebenslauf, Zeugnisse)
Auch wenn von den Forschern nur fünf echte Datensätze tatsächlich eingesehen und verifiziert wurden, war der potenzielle Schaden enorm. Insbesondere im Hinblick auf mögliche Phishing-Szenarien oder Identitätsdiebstahl.
Paradox hat die Sicherheitslücke umgehend geschlossen, nachdem die Sicherheitsforscher das Unternehmen darüber informiert haben. In einem Blog-Beitrag teilt Paradox mit, wie es zu dem Datenleck bei McDonald’s kommen konnte: Der “123456”-Zugang wurde zu Testzwecken eingerichtet und hätte bereits vor Jahren entfernt werden sollen.
Link-Tipp: Stellungnahme von Paradox zu dem Sicherheitsvorfall bei McHire.com
Warum Kontrolle von Dienstleistern unerlässlich ist: Due Diligence & Monitoring
Das Datenleck bei McDonald’s zeigt: Der Einsatz von KI-Systemen im HR-Bereich ist besonders kritisch. Bewerbungsdaten gehören zu den sensibelsten Informationen überhaupt. Wenn deren Schutz vernachlässigt wird, hilft auch die modernste Technologie nichts. Gerade im Kontext von KI sollte „Privacy by Design“ nach Art. 25 DSGVO zwingend umgesetzt werden – also Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen. Ebenso rücken Themen wie AI-Governance, z. B. durch ISO/IEC 42001 oder den EU AI Act, zunehmend in den Fokus.
Ein komplexes System wie McHire mit KI-Unterstützung und API-Zugängen bedarf einer kontinuierlichen Kontrolle – nicht nur einmal bei der Auswahl. Verantwortliche müssen daher:
- Initiale Due Diligence durchführen
Prüfung der Sicherheitsstandards, Passwortrichtlinien, MFA und generellen IT-Governance. - Regelmäßiges Monitoring etablieren
Wiederholte Audits, technische Prüfungen und Zertifikatskontrollen sicherstellen. - Vertragliche und technische Absicherungen dokumentieren
Damit Verantwortliche bei Datenschutzpannen wie dieser nicht völlig unvorbereitet dastehen.
Wie Ailance von 2B Advice dabei hilft, solche Risiken zu vermeiden
Mit Ailance – Integrated Risk Management kann die Überwachung und Steuerung von Dienstleistern systematisch, rechtskonform und nachvollziehbar gestaltet werden:
- Digitale Due Diligence
Strukturierte Fragebögen, konfigurierbare Risikobewertung, Sicherheitschecklisten – digital, skalierbar und DSGVO-konform. - Fortlaufendes Monitoring
Re-Audits, automatische Erinnerungen, Überwachung von Zertifikaten und Sicherheitsvorfällen mit Frühwarnmechanismen. - Lückenlose Dokumentation
Audit-Trails und systematische Erfassung aller Prüfungen und Maßnahmen – ideal für interne Revision und externe Kontrollen. - Risikoklassifizierung & Eskalation
Dienstleister werden automatisch in Risikostufen eingeteilt. Kritische Fälle wie der hier beschriebene würden in Ailance sofort zur Eskalation führen – inklusive definierter Workflows.
Praxistipps: Was Sie sofort tun können
✅ Multi-Faktor-Authentifizierung für alle privilegierten Accounts aktivieren
✅ API-Zugänge regelmäßig auf Schwachstellen prüfen (IDOR, Auth-Probleme etc.)
✅ Verträge mit KI-Dienstleistern auf Privacy-by-Design-Anforderungen überprüfen
✅ Ailance nutzen, um Due Diligence und Monitoring strukturiert abzubilden
Nach Datenleck bei McDonald’s: KI erfordert mehr Überwachung – nicht weniger
Der McHire-Fall mit dem KI-Chatbot Olivia macht deutlich: KI kann Prozesse effizienter machen, aber auch massives Missbrauchspotenzial mit sich bringen. Unternehmen, die auf moderne Tools setzen, müssen ihre Dienstleister aktiv prüfen und kontinuierlich überwachen.
Ailance von 2B Advice bietet dafür die passende Plattform. Mit der richtigen Due Diligence verhindern Sie, dass ein einziges schwaches Passwort Millionen sensibler Daten gefährdet.
Neugierig geworden?
Lassen Sie sich zeigen, wie Ailance Ihre Dienstleisterüberwachung professionalisiert. Vereinbaren Sie direkt Ihren persönlichen Demo-Termin.
German 
English 
Italian 
French