Selbst multinationale Konzerne habe bei der Passwortwahl nicht immer ein glückliches Händchen. Im Falle von McDonalds war das Adminkonto der unternehmenseigenen Bewerbungsplattform mit dem wohl häufigsten aller schwachen Passwörter geschützt, wie White-Hat-Hacker herausgefunden haben.
Für die Rekrutierung von Bewerbern verwendet der Fast Food-Konzern McDonald’s die Plattform “McHire“mit dem integrierten KI-Chatbot “Olivia“. Olivia hat die Aufgabe Bewerberdaten wie Kontaktdaten und Lebensläufe zu sammeln und Fragen rund um den Bewerbungsprozess zu beantworten. Die Plattform wird vom Softwareunternehmen Paradox.ai bereitgestellt.
Die Sicherheitsforscher Ian Carroll und Sam Curry haben nun offenbar gravierende Sicherheitsmängel auf der Paradox-Plattform festgestellt, wie das Online-Magazin Wired schreibt. Über ein Administratorkonto konnten sich die beiden White-Hat-Hacker Zugang zum Backend der Plattform verschaffen – und zwar durch Erraten des Passwortes. Dabei handelte es sich um einen Klassiker unter den allzu einfachen Passwörtern: nämlich um die Zahlenkombination 123456. Dank des Passwortes hatte die beiden Forscher Einblick in sämtliche Chat-Protokolle von Olivia, einschliesslich persönlicher Daten wie Namen, E-Mail-Adressen und Telefonnummern von Bewerbern. Insgesamt umfasste die Datenbank bis zu 64 Millionen Datensätze.
Laut eigenen Angaben von Carroll hatte er den mangelhaften Umgang von McDonalds mit der Sicherheit von Bewerberdaten nur entdeckt, weil ihn die Idee des Unternehmens faszinierte, potenzielle neue Mitarbeiter einem KI-Chatbot-Screening und einem Persönlichkeitstest zu unterziehen. «Ich fand das im Vergleich zu einem normalen Einstellungsprozess ziemlich einzigartig dystopisch. Deshalb wollte ich der Sache nachgehen.»
McDonalds bestätigt die Sicherheitslücke
McDonald’s und Paradox bestätigten den Vorfall auf Anfrage von Wired, erklärten jedoch auch, man habe die Sicherheitslücke noch am selben Tag geschlossen. Laut Angaben von Paradox hatten ausschließlich die beiden Forscher Zugriff auf die Daten. Zudem hiess es seitens McDonalds, man werde bald einen Blogbeitrag zu dem Vorfall veröffentlichen, der die Untersuchungsergebnisse der Forscher bestätige. Auch soll künftig ein sogenanntes Bug-Bounty-Programm helfen, ähnliche Schwachstellen schneller zu erkennen und zu beheben.
Die Chief Legal Officer von Paradox betonte gegenüber Wired man nehme den Vorfall sehr ernst. McDonald’s zeigte sich enttäuscht über die “inakzeptable Sicherheitslücke” bei dem Drittanbieter und bekräftigte sein Engagement für hohe Datenschutzstandards.
Einfallstore mit End-to-End-Security schliessen
Schwache Passwörter sind allerdings nicht die einzigen Einfallstore, über die sich Cyberkriminelle Zugang zu den Systemen von Unternehmen verschaffen können. Mit breiter abgestützten Sicherheitsmassnahmen können Betriebe dafür sorgen, dass vertrauliche Daten aller Art umfassend vor dem Zugriff unbefugter Dritter geschützt sind. Eine wichtige Rolle spielen dabei End-to-End-Security-Lösungen wie Bitdefender, die beispielsweise Ransomware- und Phishing-Angriffe effizient unterbinden – dies kostengünstig und mit geringem Aufwand.
