McDonald’s AI-drivna rekryteringsverktyg McHire har blivit föremål för ett massivt dataintrång som skulle kunna ha undvikits med grundläggande säkerhetsrutiner.
Säkerhetsforskare upptäckte i juli 2025 att hela backend-systemet för McHire – som används av majoriteten av McDonald’s franchisefilialer globalt – var skyddat av det notoriskt svaga lösenordet ’123456’. Ett av världens mest använda och mest sårbara lösenord fungerade som enda skydd för miljontals människors personuppgifter.
Via denna enkla säkerhetsbrist kunde forskarna komma åt känslig data från cirka 64 miljoner ansökningar. Vi pratar om namn, e-postadresser, telefonnummer och chattloggar från intervjuprocessen.
McHire-plattformen använder AI-chatboten Olivia, utvecklad av Paradox.ai, för att ställa frågor till kandidater och samla in personlig information. Boten genomför även personlighetstester och hanterar hela intervjuprocessen automatiskt. Men bakom den sofistikerade AI-fasaden döljer sig alltså en säkerhetsarkitektur som skulle få en nybörjare att rodna.
Säkerhetsforskarna Ian Carroll och Sam Curry testade först att interagera direkt med chatboten, men det verkliga hotet låg i backend-administrationen. Där fanns möjlighet för Paradox-anställda att logga in utan flerfaktorsautentisering och med det svaga lösenordet få administrativ tillgång till flera restaurangers data.
Paradox.ai stängde snabbt tillgången när sårbarheten avslöjades.
Integritet och ansvar i AI-driven rekrytering
När AI-system fattar beslut om våra karriärer och samlar in djupgående personlig information, måste säkerheten vara i absolut toppklass.
Fallet lyfter också bredare frågeställningar om transparens i AI-beslut. Hur vet vi att systemen inte bara är osäkra utan också diskriminerande? Utan ordentlig översyn riskerar automatiserad beslutstagning att förstärka systematiska orättvisor eller diskriminera kandidater.
I USA diskuteras nu CCPA (California Consumer Privacy Act) som grund för grupptalan mot McDonald’s. Samtidigt skärper både EU och USA lagstiftningen kring ansvarsfull AI-användning, transparens och personskydd. Den här incidenten kommer sannolikt att påskynda den processen.
Striktare reglering och tydligt ansvar för tredjepartsleverantörer är inte bara önskvärt – det är nödvändigt för att undvika liknande missar i framtiden.
Källor:
