原文链接: https://mp.weixin.qq.com/s?__biz=MzkwMTU2NzMwOQ==&mid=2247485271&idx=1&sn=9bd6f0e52177bd802a736f7c9ed39a53

123456当密码？！麦当劳AI招聘工具McHire漏洞导致6400万求职者数据泄露

原创 红客联盟 红客讲安全 2025-07-11 15:13

麦当劳AI招聘工具McHire漏洞导致6400万求职者数据泄露

麦当劳（McDonald’s Corp.），股票名称 McDonald’s Corp.，股票代码mcd，是一家以出售汉堡为主的连锁经营的快餐店，全球最大的连锁
快餐上
市公司
 [174]
 [193]
，成立于19
55年
，总部位于美国芝加哥
 [194]
，创始人为麦当劳兄弟迪克与麦克（Dick and Mac
 McDonald）
 [169]
，总裁兼CEO为克里斯·坎普钦斯基（Chris Kemp
czinski）。
 [42]

1954年，雷·克洛克取得麦当劳全国唯一特许经销权
 [152]
。1955年，第一家麦当劳餐厅在美国伊利诺伊州开业
 [169]
。1965年，麦当劳在纽约证券交易所上市
 [52]
 [153]
 [194]
。1967年，首次将餐厅开在美国以外的市场
 [169]
。1974年，门店数量超过3000家
 [153]
。1990年，正式进入中国内地市场，开设了内地第一家麦当劳餐厅
 [129]
。2004年，麦当劳中国启用全球品牌宣言i’m lovin’ it（“我就喜欢”）
 [129]
。2008年，成为北京奥运会官方餐厅
 [129]
。2014年，宣布关闭在克里米亚的餐厅
 [18]
。2017年，中信股份收购麦当劳中国事项完成交割
 [5]
，公司名称更名为“
金拱门（中国）有限公司
”
 [6]
。2021年，麦当劳中国新总部大楼“
巨无霸魔方MCHQ
”正式启用
 [29]
，并在国内首次尝试人造
肉餐品
 [158]
。2022年，宣布暂停在乌克兰的所
有业务
 [157]
，并决定退出俄罗斯市场
 [38]
，
出售在俄业务
 [39]
。截至2023年底，全球有超过40000家麦当劳餐厅，每天为100多个国家和地区超过6900多万顾客提供高品质的食品与
服务
 [169]
。2024年，宣布从以色列经销商Alonyal手中回购该国境内所有225家麦当劳餐厅。
 [71]

麦当劳曾获《2024全球最佳品牌排行榜
》第9位
 [181]
、《2023福布斯全球企业2000强》第
217位
 [186]
、《2022胡润世界500强》第
40位等荣誉。
 [50]

麦当劳旗下AI招聘工具McHire存在重大安全缺陷，暴露了6400万份求职申请。调查发现，不安全的直接对象引用（IDOR）漏洞与弱默认凭证共同导致了大规模个人数据泄露，开发方Paradox.ai已迅速完成修复。

麦当劳使用的AI招聘平台McHire（由Paradox.ai开发）因安全漏洞导致约6400万求职者的个人信息暴露，事件核心问题包括：
1. 弱密码与权限漏洞
 ：平台测试账户长期使用默认凭证“123456”（用户名与密码），研究人员仅尝试两次即成功登录管理后台，获得访问权限123
。

1. IDOR漏洞（不安全的直接对象引用）
    ：攻击者通过修改URL中的应聘者ID编号，可随意查看其他申请人的敏感信息，包括姓名、联系方式、聊天记录等23
   。

2. 影响范围
    ：漏洞涉及自2017年起麦当劳全球门店的求职者数据，存储记录约6400万条，但未包含社保号或银行信息13
   。

应对措施
 ：Paradox.ai确认漏洞后于2025年7月初修复，并计划推出“漏洞赏金计划”加强安全测试；麦当劳表示已督促供应商整改12
。

此事件凸显了第三方AI系统在权限管理和数据安全设计上的重大风险，尤其在默认凭证未及时变更、缺乏多因素认证（MFA）等基础防护措施的情况下，可能导致大规模数据泄露23
。