文章总结： 麦当劳AI招聘平台McHire因弱默认凭证和API漏洞，致6400万应聘者数据暴露。事件暴露企业在AI应用中忽视基础安全治理，未实施严格访问控制。建议加强身份验证与接口权限管理，防止因低级配置错误引发大规模数据泄露。 综合评分： 78 文章分类： 数据泄露,漏洞分析,AI安全,漏洞预警,网络安全

麦当劳AI招聘系统曝安全漏洞，6400万应聘者数据存在暴露风险

原创

勒索头条 勒索头条

勒索病毒头条

2025年7月12日 10:09 山西

7月9日，麦当劳旗下用于招聘的AI平台McHire 被曝存在安全漏洞。攻击者仅用时30分钟便可通过默认凭证和API漏洞访问超6400万条麦当劳求职者的聊天内容和个人信息（姓名、电子邮件、电话号码和家庭住址），可能会引发定向钓鱼、身份盗窃、电信诈骗等风险。

McHire发布麦当劳招聘/图来自ian.sh

McHire是由美国AI公司Paradox.ai为麦当劳量身打造的招聘平台，嵌入麦当劳官网、求职小程序与门店自助系统中，为应聘者提供岗位申请、性格测试、安排面试等服务。其AI聊天助手“Olivia”每天与数十万名求职者对话，成为麦当劳全球数万个门店重要的人力入口。据公开报道，美国地区超95%的麦当劳门店都已引入McHire系统，求职者可在几分钟内完成申请流程。

麦当劳性格测试/图来自ian.sh

研究人员发现，该系统存在诸多风险，比较典型的有两个，一是McHire给餐厅管理人员分配的账号使用极其薄弱的默认凭证（“123456”），这一基本配置漏洞使测试账号在几秒内被攻破；二是API存在安全漏洞，攻击者仅需替换网址中的一个 lead_id数字，即可浏览其他应聘者的聊天记录与身份信息。通过以上手段，攻击者可访问大量应聘信息，甚至获取申请人登录令牌。

聊天记录遭泄露/图来自Reddit

McHire泄露事件再次说明，最具破坏力的安全问题，往往不是复杂的黑客攻击，而是常年未被治理的“老问题”——默认密码、接口权限松散、缺乏审计机制。

专家称，这类漏洞的存在说明，企业在追求AI自动化效率的同时，忽视了最基础的安全治理。系统不是因为使用了AI才被攻破，而是根本没有对AI系统实施与业务同等级别的安全与访问控制。

消息来源：

1.https://hackread.com/mcdonalds-ai-hiring-tool-mchire-leaked-job-seekers-data/

2.https://www.wired.com/story/mcdonalds-ai-hiring-chat-bot-paradoxai/?utm_source=firefox-newtab-en-us

3.https://ian.sh/mcdonalds

相关阅读

1.可口可乐公司与其欧洲分销商CCEP接连遭勒索攻击，超2300万条客户关系数据被盗

2.英国连锁零售商M&S（玛莎百货）遭勒索攻击，线上服务中断，每日损失约350万英镑

3.美国知名连锁酒店遭勒索攻击：50家高档酒店陷入混乱，350万客户信息面临泄露风险

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：勒索病毒头条 勒索头条 勒索头条《麦当劳AI招聘系统曝安全漏洞，6400万应聘者数据存在暴露风险》