Nieuws
image

McDonald's lekt persoonlijke gegevens van 64 miljoen sollicitanten

vrijdag 11 juli 2025, 13:58 door Redactie, 5 reacties

McDonald's heeft via een 'chatbot recruitment platform' de persoonlijke gegevens van meer dan 64 miljoen sollicitanten gelekt. Het ging om naam, e-mailadres, telefoonnummer en adresgegevens, alsmede de status van de sollicitatie en een token om als de betreffende sollicitant in te kunnen loggen en zo toegang tot chatberichten en mogelijke andere informatie te krijgen. Dat ontdekten beveiligingsonderzoekers Ian Carroll en Sam Curry.

Voor het sollicitatieproces maakt McDonald's gebruik van McHire, een platform waar potentiële werknemers met een chatbot genaamd Olivia kunnen praten. De chatbot verzamelt persoonlijke informatie, shiftvoorkeuren en voert persoonlijkheidstests uit. Het platform is ontwikkeld door het bedrijf Paradox.ai. Carroll en Curry ontdekten dat ze via gebruikersnaam 123456 en wachtwoord123456 op de admin-interface van het platform konden inloggen.

Via deze inloggegevens, bedoeld voor medewerkers van Paradox.ai, konden ze inloggen als eigenaar van een test restaurant. Alle medewerkers van dit restaurant waren medewerkers van Paradox.ai. Verder onderzoek vanuit deze omgeving leidde naar een application programming interface (API) die kwetsbaar was voor IDOR. IDOR staat voor Insecure Direct Object Reference (IDOR) en doet zich bijvoorbeeld voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole.

Een gebruiker kan zo door het aanpassen van bepaalde data toegang tot de gegevens van andere gebruikers krijgen. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor. Het probleem is daarnaast al decennia bekend. In dit geval bleek dat het eenvoudigweg aanpassen van het 'lead_id' van de chat voldoende was om data van andere sollicitanten te achterhalen. Het bleek om de persoonlijke gegevens van meer dan 64 miljoen sollicitanten te gaan. McDonald's en Paradox.ai werden op 30 juni ingelicht. Dezelfde dag kon er niet meer met de inloggegevens worden ingelogd en een dag later was het IDOR-probleem verholpen.

Reacties (5)
Reageer met quote
Gisteren, 15:29 door Anoniem
Trump heeft vorig jaar ook kort bij McDonald's gewerkt. Zou zijn gegevens ook gelekt zijn?

https://www.foxnews.com/politics/trump-makes-fries-pennsylvania-mcdonalds-ive-now-worked-15-minutes-more-than-kamala
Reageer met quote
Gisteren, 15:47 door Anoniem
De hoeveelheid die hier gelekt is is wel enorm. Blijkbaar bewaren ze de gegevens van de solicitanten dus langere tijd en meerdere jaren.
Voldoen ze eigenlijk wel aan de avg wetgeving vraag ik mij dan af?

Een gegevens lek van deze omvang is nooit leuk vooral als je als slachtoffer nu in een data set zit en dagelijks door nep bankmedewerkers gebelt gaat worden of ze allerlei andere scams op jou persoon uit proberen te halen
Reageer met quote
Gisteren, 16:03 door Anoniem
Door Anoniem: Trump heeft vorig jaar ook kort bij McDonald's gewerkt. Zou zijn gegevens ook gelekt zijn?

https://www.foxnews.com/politics/trump-makes-fries-pennsylvania-mcdonalds-ive-now-worked-15-minutes-more-than-kamala

Volgens mij is het bekend waar hij op dit moment woont en werkt.
Reageer met quote
Gisteren, 16:10 door Anoniem
Door Anoniem: De hoeveelheid die hier gelekt is is wel enorm. Blijkbaar bewaren ze de gegevens van de solicitanten dus langere tijd en meerdere jaren.
Voldoen ze eigenlijk wel aan de avg wetgeving vraag ik mij dan af?

Een gegevens lek van deze omvang is nooit leuk vooral als je als slachtoffer nu in een data set zit en dagelijks door nep bankmedewerkers gebelt gaat worden of ze allerlei andere scams op jou persoon uit proberen te halen

Mchire is in 2019 gelanceerd,
Is de standaard voor gegevensbewaring niet 7 jaar? Dan zou dit namelijk kunnen kloppen.
Reageer met quote
Gisteren, 16:31 door Anoniem
Door Anoniem: oldoen ze eigenlijk wel aan de avg wetgeving vraag ik mij dan af?

Als deze site niet in de EU wordt gebruikt, dan maakt de AVG niet uit. Zover ik kan zien gebruiken ze de McHire site niet in Nederland
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure