Millionen Bewerber – aber Sicherheit wie bei Windows 95

Wenn du dich schon mal bei McDonald’s beworben hast, solltest du jetzt besser weiterlesen. Denn was Sicherheitsforscher bei der Fast-Food-Kette aufgedeckt haben, ist nichts weniger als ein digitaler Albtraum: Ein weltweit genutztes Bewerbungsportal, in dem sensible Daten von über 64 Millionen Menschen gespeichert waren – „geschützt“ durch das schlechteste Passwort aller Zeiten: „123456“.

Was wie ein Scherz klingt, ist Realität. Und nicht irgendeine Panne, sondern eine tickende Datenbombe. Denn wer denkt, bei einem Weltkonzern wie McDonald’s wären IT-Systeme abgesichert wie die Schatzkammer von Fort Knox, irrt gewaltig.

Chatbot Olivia & das Einfallstor der Peinlichkeit

McDonald’s nutzt zur Rekrutierung neuer Mitarbeiter weltweit die Plattform McHire.com, betrieben vom US-Unternehmen Paradox.ai. Bewerber geben dort nicht nur ihre Kontaktdaten ein, sondern chatten auch mit dem KI-Bot „Olivia“. Diese sammelt fröhlich persönliche Infos, fragt nach Schichtzeiten und analysiert sogar Persönlichkeitsmerkmale.

Doch die digitale Personalabteilung hatte ein gewaltiges Loch. Und das entdeckten die IT-Sicherheitsforscher Ian Carroll und Sam Curry – fast zufällig. Nach Beschwerden über „Olivia“ auf Reddit forschten sie nach und stellten fest: Mit dem Benutzernamen „123456“ und dem ebenso kreativen Passwort „123456“ hatte man vollen Admin-Zugang. Ohne Tricks. Ohne Hack. Einfach Login. Fertig.

Datenleck deluxe: Phishing leicht gemacht

Mit diesem Zugang konnten die Forscher auf sämtliche Bewerberdaten zugreifen – teils bis Jahre zurück. Name, Adresse, Telefonnummer, E-Mail, Bewerbungsstatus, bevorzugte Arbeitszeiten, Chatverläufe, sogar Tokens zur Authentifizierung – alles auf dem digitalen Silbertablett. Laut Carroll: „Nach 30 Minuten hatten wir vollen Zugriff auf praktisch jede Bewerbung, die jemals bei McDonald’s eingegangen ist.“

Der Super-GAU: Diese Daten sind für Cyberkriminelle ein Jackpot. Millionen Menschen, die dringend auf eine Rückmeldung warten – perfekte Ziele für Phishing-Angriffe oder Identitätsdiebstahl. Wie Sam Curry erklärt: „Wer Gehaltsbetrug durchführen wollte, hätte hier das ideale Sprungbrett gefunden.“

McDonald’s & Paradox: Schnell gelöscht, aber zu spät?

Nach Bekanntwerden der Panne reagierten Paradox.ai und McDonald’s immerhin schnell: Zugang deaktiviert, System abgesichert, Bug-Bounty-Programm gestartet. Doch wie konnte es überhaupt so weit kommen? Warum sind „123456“-Logins im Jahr 2025 immer noch ein Thema? Und wie naiv muss man sein, um Adminzugänge ohne echte Sicherheitsmechanismen zu betreiben?

IT-Salat zum McMenü – mit extra Fahrlässigkeit

So viel zum Thema „großer Konzern, große Verantwortung“. Was hier passiert ist, zeigt, wie selbst Global Player an den Basics scheitern können. Die Konsequenzen? Millionen Menschen sind durch solch stümperhafte Passwortpolitik gefährdet. Das ist kein Kavaliersdelikt. Wer so fahrlässig mit Daten umgeht, gehört vor ein ordentliches Gericht – und zwar nicht wegen Pommesdiebstahl, sondern wegen massiver Datenschutzverletzung.