64 Millionen Datensätze einsehbar

McDonald's soll Bewerbungsdaten mittels "123456"-Passwort gesichert haben

Dass man leicht zu erratende Passwörter wie "123456", "qwertz" oder "passwort" nicht verwenden sollte, dürfte inzwischen jedem klar sein. Und trotzdem gehören diese drei Beispiele zu den am häufigsten verwendeten Passwörtern (sofern das jeweilige System keine Vorgaben bei der Passworterstellung gibt). Sei es nun aus Unachtsamkeit oder Bequemlichkeit – die Folgen können fatal sein. Während bei Privatpersonen beispielsweise Identitätsdiebstahl droht, kann eine derartige Nachlässigkeit im Unternehmenskontext in einem massiven Datenleck mit enormem Schaden münden. Ebendies scheint der Fast-Food-Kette McDonald's in den USA nun passiert zu sein.

Bewerbungsverfahren mittels KI-Chatbot

Wie das US-Tech-Magazin Wired vor wenigen Tagen unter Berufung auf einen Blogeintrag zweier US-Sicherheitsforscher berichtete, habe man beim Bewerbungsprozess des international tätigen Systemgastronomen gravierende Sicherheitsmängel feststellen können. Konkret beziehen sich diese auf den KI-gestützten Chatbot "McHire", den McDonald's in den USA im Bewerbungsprozess nutzt. Dieser fragt die Jobinteressent:innen im "Erstgespräch" nach ihren Kontaktdaten sowie dem Lebenslauf und leitet sie anschließend zu einem Persönlichkeitstest weiter.

Zugriff auf 64 Millionen Datensätze

Dass die Fast-Food-Kette einen auf Künstlicher Intelligenz basierenden Chatbot zur Einstellung von Mitarbeitenden nutzt, habe Sicherheitsforscher Ian Carroll fasziniert, wie er in seinem gemeinsamen Blogeintrag mit Kollegen Sam Curry schreibt. Dementsprechend habe er aus reinem Interesse die Sicherheit der Software auf den Prüfstand gestellt und versucht, sich ins Backend einzuloggen. Das Ergebnis: Nach rund 30 Minuten habe er vollen Zugriff auf sämtliche Bewerbungen gehabt. Und das nur, weil Benutzernamen einfach zu erraten gewesen seien – und das Passwort, das den Chatbot eigentlich sichern sollte, schlichtweg "123456" gelautet haben soll. Einsehbar seien laut Carroll rund 64 Millionen Datensätze gewesen, samt sensibler Daten wie Namen, E-Mail-Adressen und Telefonnummern.

Sicherheitsmängel bestätigt

Gegenüber Wired habe Paradox.ai, die Entwicklerfirma des Chatbots, die Sicherheitsmängel inzwischen bestätigt und versichert, dass man an der Behebung derer arbeite. Zudem würde laut dem Unternehmen lediglich ein Bruchteil der Datensätze persönliche Informationen enthalten, und außer den beiden Sicherheitsforschern hätten keine Dritten darauf zugegriffen.