Computable.be
  • Thema’s
    • Security & Awareness
    • Cloud & Infrastructuur
    • Data & AI
    • Software Innovation
  • Computable Awards
    • Nieuws Computable Awards
    • Hall of Fame
  • Cybersec e-Magazine
  • Kennisbank
  • Inlog
  • Nieuwsbrief

Hoe Olivia en wachtwoord ‘123456’ McDonald’s in verlegenheid brachten

11 juli 2025 - 13:43ActueelSecurity & AwarenessMcDonald'sParadox.ai
William Visterin

Beveiligingsonderzoekers hebben een ernstige kwetsbaarheid ontdekt in McDonald’s McHire-platform dat persoonlijke data van mogelijk miljoenen sollicitanten blootstelde. Het systeem gebruikt een externe ai-chatbot voor het screenen van kandidaten en het verzamelen van contactgegevens. Maar die bleek onvoldoende beveiligd.

De onderzoekers Ian Carroll en Sam Curry kregen volgens Wired binnen dertig minuten volledige toegang tot het systeem door het wachtwoord ‘123456’ te raden voor een administratoraccount zonder multi-factor-authenticatie. Het probleem situeerde zich bij de toepassing, aangeboden door het externe softwarebedrijf Paradox.ai. Zo communiceerden sollicitanten via de door hen ontworpen ai-chatbot .

Olivia weinig discreet

Olivia was de naam van die ai-chatbot die Paradox.ai voor McDonald’s had ontwikkeld. Maar Olivia bleek, door haar ontoereikende beveiliging, dus weinig discreet. De elementaire beveiligingsfout gaf toegang tot alle chatgesprekken, namen, e-mailadressen en telefoonnummers van sollicitanten.

Naast het zwakke wachtwoord ontdekten de onderzoekers een tweede kritieke kwetsbaarheid, via een zogenaamde insecure direct object reference in de databank van kandidaten. Dat is een beveiligingslek waarbij een applicatie interne object-id’s, zoals database-id’s of bestandspaden, rechtstreeks blootstelt aan gebruikers, zonder de juiste toegangscontroles.

Door sollicitant-ID-nummers te manipuleren konden ze chatlogboeken en contactgegevens van andere sollicitanten inzien. Het systeem bevatte meer dan 64 miljoen records, waarbij checks uitwezen dat deze echte sollicitantgegevens bevatten.

Wachtwoord ‘123456’

Paradox.ai bevestigde de bevindingen in een blogpost en stelde dat slechts een fractie van de geraadpleegde records persoonlijke informatie bevatte. Het bedrijf voegde toe dat het administratoraccount met het zwakke wachtwoord sinds 2019 niet was gebruikt en eigenlijk had moeten worden stopgezet.

Ook de keuze van het banale wachtwoord zelf was ongelukkig, al is het tegelijk een bevestiging van ondoordachte of nonchalante security. In de lijst van veelgebruikte wachtwoorden staat ‘123456’ steevast bovenaan als wachtwoord dat het meest wordt gebruikt.

Phishing-risico

McDonald’s reageerde teleurgesteld op wat zij noemden ’een onaanvaardbare kwetsbaarheid van een externe leverancier’. Het bedrijf mandateerde Paradox.ai om het probleem onmiddellijk op te lossen, wat nog dezelfde dag gebeurde. Al lijkt het kwaad intussen wel geschied.

De blootgestelde gegevens creëerden volgens de onderzoekers aanzienlijke phishing-risico’s, omdat fraudeurs zich zouden kunnen voordoen als McDonald’s recruiters om financiële informatie te verkrijgen voor directe stortingen.

Meer over

DatalekPhishing

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Meer lezen

    Onderhandelingen gesprekken deal overname
    ActueelCloud & Infrastructuur

    Kort: Nederlands Odin koopt Assyst, jonge Britse hackers gearresteerd (en meer)

    Kennis cybersecurity bij organisaties laag
    EventsSecurity & Awareness

    Waarom Amerikaanse techreuzen geen soevereiniteit kunnen garanderen

    CISO
    ActueelSecurity & Awareness

    Nova Advisor Agent: gamechanger voor ciso of ai-hype?

    ActueelSecurity & Awareness

    Belang digitale soevereiniteit in Europese cybersecurity neemt toe

    ActueelData & AI

    Kort: Bedrijven schalen gebruik agentic ai op, Panasonic helpt The AA (en meer)

    ActueelCarrière

    Kort: Najaarsdag GTIA Benelux in Eindhoven, opnieuw banen weg bij Microsoft (en meer)

    Geef een reactie Reactie annuleren

    Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

    Populaire berichten

    Meer artikelen

    Footer

    Direct naar

    • Kennisbank
    • Computable Awards
    • Colofon
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Persberichten

    Contact

    • Contact
    • Nieuwsbrief

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.be is een product van Jaarbeurs