Крупнейшая сеть быстрого питания в мире стала жертвой невероятно глупой утечки данных. Хакеры получили доступ к личной информации более 60 миллионов человек, подававших заявки на работу в McDonald’s, просто введя самый банальный пароль в истории интернета.
Как два исследователя взломали McDonald’s за полчаса
Независимые исследователи безопасности Иан Кэрролл и Сэм Карри случайно наткнулись на колоссальную дыру в системе безопасности портала найма McHire. Все началось с жалоб пользователей Reddit на бессмысленные ответы чатбота Olivia, который собирает данные соискателей.
Исследователи решили проверить бота на уязвимости. Сначала они искали возможности prompt injection — атак, позволяющих обмануть языковые модели специальными командами. Когда это не сработало, они попробовали зарегистрироваться как франчайзи McDonald’s.
На портале McHire они обнаружили страницу входа для «членов команды Paradox». Paradox.ai — это американская AI-компания, которая управляет чатботом Olivia. И тут произошло невероятное: они ввели «123456» как логин и пароль — и система их пропустила.
За 30 минут исследователи получили полный доступ ко всем заявкам, когда-либо поданным в McDonald’s за годы работы системы. Никаких дополнительных проверок, никакой двухфакторной аутентификации — просто пароль из шести единиц.
Что увидели хакеры
Попав в систему, исследователи получили доступ к огромному массиву персональных данных. В их распоряжении оказались резюме, личная информация и результаты «тестов личности», которые проходили соискатели.
Кэрролл признался, что именно наличие психологического тестирования в процессе найма на работу в фастфуд заинтриговало его больше всего. «Мне показалось это довольно уникально антиутопичным по сравнению с обычным процессом найма. Именно это заставило меня углубиться в изучение», — рассказал он.
Чатбот Olivia собирал не просто базовую информацию для трудоустройства. Система требовала от соискателей пройти личностные тесты, что давало компании доступ к психологическим профилям миллионов людей, ищущих работу.
Цепочка ошибок и перекладывания ответственности
После уведомления о проблеме Paradox.ai быстро выпустила заявление, что уязвимость устранена. Компания объяснила инцидент тем, что хакеры получили доступ к тестовому аккаунту, который «пропустили во время проверок безопасности».
McDonald’s попытался переложить всю вину на подрядчика. Представители сети заявили: «Мы разочарованы этой неприемлемой уязвимостью от стороннего поставщика Paradox.ai. Как только мы узнали о проблеме, мы потребовали от Paradox.ai немедленно исправить ситуацию».
Но такие оправдания выглядят неубедительно. McDonald’s — одна из крупнейших корпораций мира с миллиардными оборотами. Использование пароля «123456» для защиты данных миллионов людей говорит о вопиющей халатности в вопросах кибербезопасности.
Что это означает для соискателей
60 миллионов человек, подававших заявки на работу в McDonald’s, теперь должны беспокоиться о безопасности своих данных. В руках злоумышленников могли оказаться не только контактные данные, но и подробная личная информация.
Особенно тревожно наличие результатов психологических тестов в утекших данных. Эта информация может использоваться для таргетированного мошенничества или даже шантажа в будущем.
Пострадавшие соискатели практически беззащитны. Они не могут отозвать уже переданную информацию и вынуждены надеяться, что их данные не попадут к настоящим киберпреступникам.
Системная проблема индустрии
Этот инцидент высвечивает более широкую проблему: крупные корпорации часто недооценивают важность кибербезопасности при работе с персональными данными. Передача критически важных функций сторонним подрядчикам без должного контроля создает огромные риски.
Использование простейших паролей для защиты миллионов записей в 2025 году выглядит анахронизмом. Это показывает, что даже в эпоху развитого искусственного интеллекта базовые принципы безопасности игнорируются.
Проблема усугубляется тем, что многие люди вынуждены искать работу и не могут отказаться от подачи заявок из-за опасений за безопасность данных. Работодатели пользуются этим, экономя на защите информации соискателей.
Последствия для бизнеса
Для McDonald’s этот инцидент может обернуться серьезными репутационными потерями. Компания, которая позиционирует себя как современный и технологичный работодатель, продемонстрировала вопиющую безответственность в обращении с данными.
Возможны и финансовые последствия. В эпоху ужесточения законов о защите данных такие утечки могут привести к многомиллионным штрафам и судебным искам от пострадавших.
Paradox.ai также рискует потерять доверие клиентов. AI-компания, которая не может защитить данные простейшим паролем, вряд ли внушит доверие другим крупным корпорациям.
Этот случай должен стать предупреждением для всей индустрии: экономия на кибербезопасности может обойтись гораздо дороже, чем инвестиции в защиту данных.
Следите за важными новостями кибербезопасности в нашем Telegram-канале Digital Report
- В России обнаружили способ бесплатно получить подписку ChatGPT Plus за $240 - 06/01/2026 22:58
- Роспотребнадзор блокирует ввоз детских смесей Nestlé из-за угрозы отравлений - 06/01/2026 20:33
- Телескоп XRISM впервые разглядел материю у горизонта событий черной дыры - 06/01/2026 16:39
