Computable.nl
  • Thema’s
    • Carrière
    • IT Strategy & Governance
    • Cloud & Infrastructure
    • Data & AI
    • Security & Risk
    • Software & Development
    • Digitale werkplek
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Awards
    • Computable Awards
    • Nieuws
    • Winnaars
    • Partner worden
    • Inzendingen
    • De jury en experts
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Magazine
    • Magazine
    • Adverteren in het magazine
  • Nieuwsbrief

Home » Security & Risk » Threat Detection » Phishing

Hoe Olivia en wachtwoord ‘123456’ McDonald’s in verlegenheid brachten

11 juli 2025 - 14:00ActueelPhishing
William Visterin
William Visterin

Beveiligingsonderzoekers hebben een ernstige kwetsbaarheid ontdekt in McDonald’s McHire-platform dat persoonlijke data van mogelijk miljoenen sollicitanten blootstelde. Het systeem gebruikt een externe ai-chatbot voor het screenen van kandidaten en het verzamelen van contactgegevens. Maar die bleek onvoldoende beveiligd.

De onderzoekers Ian Carroll en Sam Curry kregen volgens Wired binnen dertig minuten volledige toegang tot het systeem door het wachtwoord ‘123456’ te raden voor een administratoraccount zonder multi-factor-authenticatie. Het probleem situeerde zich bij de toepassing, aangeboden door het externe softwarebedrijf Paradox.ai. Zo communiceerden sollicitanten via de door hen ontworpen ai-chatbot .

Olivia weinig discreet

Olivia was de naam van die ai-chatbot die Paradox.ai voor McDonald’s had ontwikkeld. Maar Olivia bleek, door haar ontoereikende beveiliging, dus weinig discreet. De elementaire beveiligingsfout gaf toegang tot alle chatgesprekken, namen, e-mailadressen en telefoonnummers van sollicitanten.

Naast het zwakke wachtwoord ontdekten de onderzoekers een tweede kritieke kwetsbaarheid, via een zogenaamde insecure direct object reference in de databank van kandidaten. Dat is een beveiligingslek waarbij een applicatie interne object-id’s, zoals database-id’s of bestandspaden, rechtstreeks blootstelt aan gebruikers, zonder de juiste toegangscontroles.

Door sollicitant-ID-nummers te manipuleren konden ze chatlogboeken en contactgegevens van andere sollicitanten inzien. Het systeem bevatte meer dan 64 miljoen records, waarbij checks uitwezen dat deze echte sollicitantgegevens bevatten.

Wachtwoord ‘123456’

Paradox.ai bevestigde de bevindingen in een blogpost en stelde dat slechts een fractie van de geraadpleegde records persoonlijke informatie bevatte. Het bedrijf voegde toe dat het administratoraccount met het zwakke wachtwoord sinds 2019 niet was gebruikt en eigenlijk had moeten worden stopgezet.

Ook de keuze van het banale wachtwoord zelf was ongelukkig, al is het tegelijk een bevestiging van ondoordachte of nonchalante security. In de lijst van veelgebruikte wachtwoorden staat ‘123456’ steevast bovenaan als wachtwoord dat het meest wordt gebruikt.

Phishing-risico

McDonald’s reageerde teleurgesteld op wat zij noemden ’een onaanvaardbare kwetsbaarheid van een externe leverancier’. Het bedrijf mandateerde Paradox.ai om het probleem onmiddellijk op te lossen, wat nog dezelfde dag gebeurde. Al lijkt het kwaad intussen wel geschied.

De blootgestelde gegevens creëerden volgens de onderzoekers aanzienlijke phishing-risico’s, omdat fraudeurs zich zouden kunnen voordoen als McDonald’s recruiters om financiële informatie te verkrijgen voor directe stortingen.

Meer over

DatalekPhishing

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Meer lezen

    Phishing

    Rol Arie van Bellen bij ECP uitgekleed

    Phishing

    Drie drijfveren voor versnelling en verandering

    ai cyclotron
    Phishing

    Kort: Europese netwerktech-alliantie ziet licht, Futureproof Group lijft WSB Solutions in (en meer)

    Phishing
    Phishing

    Belgisch slacht­of­fer van online-fraude verliest gemiddeld 4.000 euro, Ne­der­lan­der 820 euro

    Phishing

    AIVD mag effectiever filteren

    Phishing

    Klachtenregen bij Autoriteit Persoonsgegevens

    ...

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Computable Awards
    • Magazine
    • Ontvang Computable e-Magazine
    • Cybersec e-Magazine
    • Topics
    • Phishing
    • Ransomware
    • NEN 7510

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten
    • Blogwire

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2026 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs