Simulation Træning Monitorering Virksomheden Ressourcer Blog Priser Kontakt
Prøv det gratis Log ind

Data fra McDonald’s jobportal afsløret

Et kritisk sikkerhedsbrud i McHire efterlod millioner af jobansøgninger åbne for misbrug. Læs hvad der skete og hvorfor.

11-07-2025 - 4 minutters læsning. Under kategorien: cybercrime.

Data fra McDonald’s jobportal afsløret

Sikkerhedsbrist i McDonald’s AI-ansættelsessystem

En simpel adgangskode og et usikkert API førte til massiv eksponering af følsomme oplysninger.

McDonald’s benytter en AI-chatbot ved navn Olivia til at håndtere jobansøgninger via platformen McHire. Men ny research har afsløret, at systemet efterlod millioner af ansøgeres personlige oplysninger ubeskyttet på grund af alvorlige og grundlæggende sikkerhedsfejl. Sikkerhedsforskerne Ian Carroll og Sam Curry opdagede, at det var muligt at få adgang til McHires administrationssystem blot ved at indtaste en af de mest forudsigelige adgangskoder: 123456.

Da de først var logget ind, fandt forskerne ud af, at administratorportalen ikke kun accepterede svage legitimationsoplysninger, men også var sårbar over for en usikker direkte objektreference (IDOR). Det gjorde det muligt at ændre bruger-ID’er i systemet og få adgang til andre ansøgeres oplysninger. I alt vurderes det, at platformen potentielt har eksponeret op mod 64 millioner jobansøgninger.

Hvad blev eksponeret

De eksponerede data omfattede navne, e-mailadresser, telefonnumre, hjemmeadresser, præferencer for arbejdstider samt chathistorik med AI-assistenten. Forskerne fik desuden adgang til godkendelsestokens, som i teorien kunne bruges til at logge ind som individuelle ansøgere.

Sådan adgang kunne gøre det muligt for hackere at udgive sig for at være jobsøgende, hente yderligere følsomme oplysninger eller iværksætte overbevisende phishing-kampagner. Selvom der ikke er konstateret misbrug, er den potentielle skade betydelig.

Eksponeringen af denne type persondata er særlig alvorlig, fordi den giver cyberkriminelle præcis de oplysninger, de har brug for til at udføre målrettede angreb. Med adgang til kontaktoplysninger og adfærdsmæssige detaljer kan hackere nemt skræddersy troværdige beskeder, der er svære at gennemskue som svindel. Vi har skrevet en guide til, hvad persondata er, og hvorfor det er vigtigt at beskytte dem.

Phishing er en af de mest almindelige trusler efter et datalæk som dette. Når hackere allerede har adgang til navne, e-mails og kontekst, bliver det langt nemmere at narre ofrene til at klikke på skadelige links eller videregive endnu flere oplysninger. Du kan læse vores guide til phishing og få konkrete råd til, hvordan du genkender og undgår denne type angreb.

AI-bekvemmelighed med menneskelig risiko

Sagen er et tydeligt eksempel på, hvordan digital bekvemmelighed kan føre til alvorlige sikkerhedsbrister, når den ikke følges op af stærke cybersikkerhedsprincipper. AI-værktøjer som Olivia bliver i stigende grad brugt i rekrutteringsprocesser, men systemerne bag skal beskyttes med samme grundighed som enhver anden forretningskritisk applikation.

Der var ikke tale om en avanceret zero-day-sårbarhed eller et sofistikeret hackerangreb. Bristen skyldtes helt basale fejl som glemte testkonti, svag adgangskontrol og manglende overvågning – fejl, der burde have været fanget langt tidligere.

Hurtig reaktion, men dybere bekymringer

Paradox.ai, virksomheden bag McHire, reagerede hurtigt, da forskerne gjorde dem opmærksomme på problemet. Den sårbare konto blev deaktiveret samme dag, og sårbarheden blev udbedret fuldstændigt inden for 48 timer. McDonald’s udsendte en udtalelse, hvor de bekræftede, at fejlen lå hos en ekstern leverandør, og understregede deres engagement i at beskytte brugernes data.

Alligevel rejser hændelsen væsentlige spørgsmål om, hvordan organisationer fører tilsyn med sikkerheden hos deres tredjepartsleverandører. Carroll og Curry opdagede, at den eksponerede administratorkonto havde eksisteret helt siden 2019 og aldrig var blevet lukket. Det er netop denne type oversete adgangspunkter, der udgør en alvorlig og velkendt blind vinkel i mange virksomheders sikkerhedsarbejde.

Risikoen ved AI-drevne ansættelsesplatforme

Databruddet i McHire tydeliggør de særlige risici, der følger med brugen af AI-baserede systemer til håndtering af følsomme oplysninger. I modsætning til traditionelle webapplikationer behandler AI-platforme ofte data i realtid, foretager adfærdsvurderinger og træffer automatiserede beslutninger. Hvis disse systemer ikke er ordentligt sikret, kan de hurtigt blive attraktive mål for cyberangreb og udgøre en betydelig risiko for de virksomheder, der benytter dem.

Data fra jobansøgninger er særligt følsomme, da de ofte tilhører unge mennesker eller personer i økonomisk sårbare situationer. Når denne type oplysninger lækkes, øges risikoen markant for målrettede phishing-angreb, der udnytter ofrenes håb og forventninger midt i en ansættelsesproces.

Hvad virksomheder bør lære

McDonald’s-sagen rummer tre vigtige læringspunkter:

  1. Brug aldrig standardlogins i produktionsmiljøer. Selv i testmiljøer udgør svage adgangskoder en alvorlig sikkerhedsrisiko.

  2. Tredjepartsleverandører skal leve op til de samme sikkerhedskrav som interne teams. Ansvar for datasikkerhed kan ikke outsources.

  3. AI-systemer skal bygges med sikkerhed som en integreret del fra starten. Det kræver stærk autentificering, adgangsstyring og løbende sikkerhedsrevisioner.

McHire blev udviklet for at effektivisere rekrutteringsprocessen, men hændelsen viser, hvor hurtigt tingene kan gå galt, når cybersikkerhed nedprioriteres. Enhver platform, der behandler persondata, bør betragtes som et højrisikoaktiv og beskyttes derefter.

Hos Moxso mener vi, at selv de mest avancerede teknologier kun er så stærke som deres sikkerhedsfundament. AI er ikke farlig i sig selv, men det kræver kontrol, ansvarlighed og samme disciplin som ethvert andet kritisk system.

Forfatter Sarah Krarup

Sarah Krarup

Sarah studerer innovation og entrepreneurship og har en dyb interesse for IT og hvordan cybersikkerhed påvirker virksomheder og private. Hun har stor erfaring med copywriting og en passion for at formidle viden om cybersikkerhed på en engagerende måde.

Se alle indlæg af Sarah Krarup

Lignende indlæg

Internet of Things: En større angrebsflade
awareness

Internet of Things: En større angrebsflade

Samspillet mellem enheder er noget vi længe har kendt til - men hvilken indflydelse har det på den almene forbruger? Læs med her.

24-04-2023 · 5 min.
Hvad er thoughtnets?
cybercrime

Hvad er thoughtnets?

I dette blogindlæg dykker vi ned i, hvad thoughtnets er, hvordan de opererer, og hvilken rolle de spiller i det bredere landskab af desinformation.

08-10-2024 · 8 min.
Security by design: Fundamentet for cybersikkerhed
awareness

Security by design: Fundamentet for cybersikkerhed

Vi ser på, hvordan du bedst muligt kan sikre jeres software - det starter nemlig helt i begyndelsen af softwarens udvikling.

01-11-2023 · 6 min.