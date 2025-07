A McDonald’s étteremlánc amerikai kirendeltsége az elsők között próbálta modernizálni a dolgozófelvételi rendszerét. A McHire állásportálján keresztül az USA-ban üzemeltetett éttermek 90 százalékába jelentkezhetnek az érdeklődők, egy Olivia nevű chatbot vezeti őket végig a folyamaton, a nevük, a címük, a telefonszámuk, az e-mail-címük, továbbá néhány egyéb információjuk megadása mellett személyiségtesztet is ki kell tölteniük.

Nem tudni, hogy a McDonald’s óriási biztonsági hibáját hányan használták ki. A kép csak illusztráció

Fotó: Erik Mclean / Unsplash

Ian Carroll és Sam Curry biztonsági kutatók most kíváncsiságból ránéztek a McHire rendszerre, és sajnos botrány lett a vizsgálódásukból. Elsőként is sikeresen be tudtak lépni a McHire adminisztrációs felületén az „123456” név és jelszó megadásával, ami még hagyján lett volna, ezekkel az adatokkal ugyanis csak egy fejlesztők általi tesztelésre létrehozott, hamis adatokkal feltöltött étterem McHire-fiókjába tudtak belépni.

Az igazi probléma ezután jött, az adminisztrációs felület kódjában való további kutatással rájöttek, hogy egyetlen paraméter megváltoztatásával meg tudják nézni a valódi éttermekbe ténylegesen jelentkezett személyek adatait és chatelési történeteit.

A jelek szerint bő 64 millióan jelentkeztek már a McHire rendszeren keresztül éttermi dolgozónak az USA-ban. Súlyosbítja a helyzetet, hogy a jelentkezők között valószínűleg rengeteg fiatalkorú található, akik diákmunka reményében adták meg az adataikat az állásportálon.

A McDonald’s gyorsan reagált, de nem tudni, történt-e baj

Az eredményeik összegzése után a kutatók felvették a kapcsolatot az étteremlánccal. A McDonald’s példás sebességgel egy órán belül reagált a bejelentésükre, elfogadhatatlannak titulálta a sebezhetőséget, és a McHire fejlesztését végző Paradox.ai céggel még aznap lecseréltette a „meghackelt” adminisztrációs felület nevét és jelszavát.

Nem tudni, hogy a biztonsági kutatók riasztása előtt vajon történt-e rosszindulatú visszaélés a McHire rendszerben lévő adatokkal.

