Системи McDonald's зламали через пароль "123456": дані 64 мільйонів людей були під загрозою

На щастя, "злам" системи відбувся так званими білими хакерами, тобто дослідниками кібербезпеки, які шукають вразливості в інтернеті, щоб повідомити про них розробниках і швидко усунути. Якби до цієї прогалини добралися злочинці, наслідки були б масштабними, пише 24 Канал з посиланням на TechCrunch.

Як зламали McDonald's?

У липні 2025 року дослідники кібербезпеки Іан Керролл та Сем Каррі виявили серйозні недоліки в платформі McHire, яку використовує McDonald's для найму працівників. Ця система, розроблена компанією Paradox.ai, застосовується у 90% франчайзингових ресторанів мережі. Основна проблема полягала в тому, що адміністративний доступ до акаунту можна було отримати, використовуючи логін і пароль "123456". Це дозволило дослідникам увійти в систему як адміністратори та переглядати внутрішні дані.

Окрім слабкого пароля, була виявлена ще одна вразливість – незахищений API-інтерфейс. Завдяки цьому дослідники змогли отримати доступ до чатів між кандидатами та ботом Olivia, переглядаючи особисту інформацію, таку як імена, електронні адреси, номери телефонів, домашні адреси й деталі заявок, наприклад, бажані зміни для роботи. Загалом під загрозою опинилися дані, пов’язані з понад 64 мільйонами заявок на роботу в McDonald's.

Ця вразливість не вимагала складних хакерських навичок. Дослідники зазначили, що виявили проблему протягом кількох годин поверхневого аналізу. Вони також отримали доступ до токенів автентифікації, які могли дозволити увійти в систему від імені самих кандидатів і переглядати їхні приватні чати.

Компанія зреагувала

Після виявлення проблеми дослідники негайно повідомили про неї Paradox.ai та McDonald's. Компанія Paradox.ai підтвердила, що вразливість була усунена протягом кількох годин після отримання повідомлення. Вони також зазначили, що дані не були оприлюднені чи використані зловмисниками, а доступ до них отримали лише дослідники.

Представники McDonald's, своєю чергою, висловили розчарування через недбалість розробників. Вони заявили, що одразу після отримання інформації про проблему вимагали її негайного виправлення. Компанія підкреслила, що серйозно ставиться до кібербезпеки та продовжить вимагати від своїх партнерів дотримання високих стандартів захисту даних.

Наслідки та ризики

Хоча немає доказів того, що дані були використані зловмисниками, потенційні ризики залишаються значними. Дослідники зазначають, що доступ до такої кількості особистих даних міг би стати основою для масштабних фішингових атак. Наприклад, зловмисники могли б видавати себе за рекрутерів McDonald's і вимагати від кандидатів фінансову інформацію під виглядом оформлення зарплатного рахунку.

Цей інцидент також піднімає ширші питання про безпеку AI-систем, які обробляють чутливі дані. Використання штучного інтелекту в рекрутингу стає все більш популярним, але без належних заходів безпеки такі платформи можуть стати легкою мішенню для кіберзлочинців. Прості помилки, як-от використання стандартних паролів чи недостатній захист API, можуть призвести до катастрофічних наслідків.