Bij fastfoodketen McDonald’s houdt men er geen al te beste wachtwoordhygiëne op na. Een rekruteringsplatform met gegevens van miljoenen sollicitanten was (niet) beveiligd met ‘123456’.
‘123456’ is volgens de lijstjes het meest gebruikte wachtwoord. Als een particulier dit gebruikt om zijn e-mailaccount mee te beveiligen, is dat al problematisch, maar van een miljardenbedrijf zou je toch beter mogen verwachten. Fastfoodreus McDonald’s heeft de regels voor een sterk wachtwoord nog niet gesnopen.
Twee ethische hackers ontdekten bij toeval dat een rekruteringsplatform van McDonald’s met gegevens van 64 miljoen sollicitanten hilarisch slecht beveiligd was. Door lukraak ‘123456’ als wachtwoord te gokken, konden ze zich zo aanmelden en de persoonsgegevens bekijken, zonder bijkomende verificatie. Gelukkig deelden ze hun bevindingen met McDonald’s voordat minder ethische hackers dit ontdekten.
123456
Het potentiële datalek zat in McHire, een AI-aangedreven platform waarop mensen kunnen solliciteren naar een baan bij McDonald’s. Kandidaten chatten met een bot genaamd Olivia, die onder meer contactgegevens en shiftvoorkeuren verzamelt. Ongeveer 90 procent van McDonald’s-restaurants zou gebruik maken van het platform.
De ethische hackers besloten het platform eens te testen en kwamen tot de conclusie dat het niet moeilijk was om ongeauthoriseerde toegang te krijgen. Zowel de gebruikersnaam als het wachtwoord bleek ‘123456’ te zijn. Dat was niet de enige beveiligingsfout die McDonald’s maakte.
Ook een interne API om de database te doorzoeken, bleek niet goed beveiligd te zijn. Hierdoor kon iedereen met toegang tot een McHire-account eenvoudig de gegevens van miljoenen andere sollicitanten opvragen.
Door het manipuleren van een eenvoudig oplopend ID in de API konden namen, adressen, telefoonnummers en e-mailadressen van kandidaten worden ingezien. Ook waren er tokens beschikbaar waarmee men kon inloggen als een willekeurige sollicitant, inclusief toegang tot hun chatgeschiedenis.
Datalek vermeden
De onderzoekers deelden hun bevindingen met McDonalds en Paradox.ai, het bedrijf dat het platform ontwierp. Beide bedrijven deden de nodige aanpassingen en Paradox beloofde extra interne controles. McDonald’s heeft geen verdere extra stappen toegelicht.
Dit datalek mag dan wel zijn vermeden, maar het incident werpt vragen op over hoe zorgvuldig persoonlijke informatie verwerkt wordt.