Ερευνητές ασφαλείας ανακάλυψαν ότι μπορούσαν να έχουν πρόσβαση στα προσωπικά στοιχεία 64 εκατομμυρίων ατόμων που είχαν υποβάλει αίτηση για εργασία στη McDonald’s, κυρίως συνδέοντας το chatbot προσλήψεων της εταιρείας με το όνομα χρήστη και τον κωδικό πρόσβασης «123456».
Ο Ian Carroll και ο Sam Curry έγραψαν σε μια ανάρτηση στο blog ότι «κατά τη διάρκεια μιας επιπόλαιης ελέγχου ασφαλείας λίγων ωρών», εντόπισαν το πρόβλημα με τον κωδικό πρόσβασης και μια άλλη απλή ευπάθεια ασφαλείας σε ένα εσωτερικό API, το οποίο επέτρεπε την πρόσβαση σε προηγούμενες συνομιλίες των υποψηφίων με το chatbot, που ονομάζεται McHire, το οποίο παρέχεται στη McDonald's από την Paradox.ai.
Τα προσωπικά δεδομένα που είδαν οι ερευνητές περιλάμβαναν τα ονόματα, τις διευθύνσεις email, τις διευθύνσεις κατοικίας και τους αριθμούς τηλεφώνου των υποψηφίων.
Η Paradox.ai έγραψε σε μια ανάρτηση στο blog ότι έλυσε τα προβλήματα «μέσα σε λίγες ώρες» μετά την αναφορά των ερευνητών και ότι «σε κανένα σημείο δεν διέρρευσαν στο διαδίκτυο ή δημοσιοποιήθηκαν πληροφορίες των υποψηφίων».
