Sicherheitslücke bei McDonald’s Bewerbungsplattform: Was Unternehmen daraus lernen sollten

Ende Juni 2025 wurde eine gravierende Sicherheitslücke in der Bewerbungsplattform „McHire“ bekannt, die McDonald’s in den USA einsetzt. Die Plattform basiert auf KI-Technologie und wird vom Anbieter Paradox.ai betrieben. Sie soll Bewerbungsprozesse vereinfachen – doch genau dort entstand nun ein erhebliches Datenschutzproblem: Bis zu 64 Millionen Bewerbungen waren potenziell einsehbar.

Die Entdeckung machten die Sicherheitsforscher Ian Carroll und Sam Curry. Ihnen gelang es, über einen Test-Account Zugang zu internen Bereichen der Plattform zu erhalten. Das besonders Alarmierende: Der Zugang war mit einem denkbar einfachen Passwort „123456“ gesichert – ohne Zwei-Faktor-Authentifizierung oder andere gängige Schutzmechanismen. Durch den Account erhielten sie weitreichende Einsicht in Bewerbungsdaten, die eigentlich nur den jeweiligen Franchisepartnern von McDonald’s vorbehalten sein sollten.

Doch das war nicht das einzige Problem. Die Plattform war zudem anfällig für sogenannte IDOR-Schwachstellen („Insecure Direct Object Reference“). Dabei reicht es oft aus, in einer URL oder Anfrage eine ID zu verändern – etwa von 1234 auf 1235 – um Zugriff auf fremde Datensätze zu erhalten.

In diesem Fall konnten Bewerbungen anderer Nutzer*innen samt persönlicher Angaben, Chatverläufe mit dem KI-gestützten Bot „Olivia“, Persönlichkeitstests und weitere Bewerbungsdetails abgefragt werden.

Paradox.ai reagierte schnell und deaktivierte den unsicheren Account innerhalb weniger Stunden nach der Meldung. Bereits am 1. Juli war die Lücke geschlossen. Auch McDonald’s betonte, dass das Problem nicht im eigenen System, sondern bei einem Drittanbieter lag. Dennoch zeigt der Vorfall eindrucksvoll, welche Risiken mit digitalen Bewerbungsverfahren verbunden sein können – insbesondere, wenn künstliche Intelligenz, automatisierte Prozesse und sensible Personaldaten aufeinandertreffen.

Wichtige Maßnahmen

Was bedeutet das für andere Unternehmen?

Der Fall ist ein deutlicher Hinweis darauf, dass auch scheinbar ausgereifte Plattformen grundlegende Sicherheitslücken aufweisen können. Gerade im HR-Bereich, wo persönliche Daten in großer Zahl verarbeitet werden, ist ein hohes Maß an IT-Sicherheit unerlässlich. Wer KI-basierte Tools in Recruiting oder Personalentwicklung einsetzt, sollte sich nicht allein auf die Versprechen der Anbieter verlassen, sondern selbst für eine kontinuierliche technische Prüfung sorgen.


Wichtige Maßnahmen sind unter anderem:

  • Der Einsatz starker Zugangsdaten in Kombination mit Zwei-Faktor-Authentifizierung.
  • Die Absicherung von APIs gegen unbefugte Datenzugriffe.
  • Eine konsequente Datenminimierung: Bewerbungsdaten sollten nur so lange gespeichert werden, wie unbedingt nötig.
  • Regelmäßige Audits und Penetrationstests – auch bei Drittanbietern.
  • Transparenz gegenüber Bewerbenden: Wer automatisierte Systeme nutzt, sollte dies offen kommunizieren und über Datenschutzmaßnahmen aufklären.

Fazit

Der Vorfall rund um die McHire-Plattform zeigt: Digitalisierung im Recruiting bringt Vorteile, aber auch erhebliche Verantwortung mit sich. Sicherheitskonzepte dürfen nicht nachgelagert betrachtet werden – sie müssen integraler Bestandteil jedes digitalen HR-Prozesses sein. Unternehmen, die das frühzeitig erkennen, schützen nicht nur ihre Daten, sondern auch ihr Image und das Vertrauen potenzieller Mitarbeiterinnen und Mitarbeiter.