麦当劳泄露六千万人简历麦当劳密码竟是123456

一串“123456”的密码，让麦当劳招聘系统（McHire）暴露了6400万求职简历。

事情起因是，白帽Sam Curry对麦当劳的AI招聘助手“Olivia”展开测试。

他绕过了对话系统，转向McHire后台系统的登录页面，试了几个经典弱口令组合后，直接用“用户名：admin 密码：123456”成功登录了平台的测试账户。

很快，他发现了更大的问题——

McHire系统的API接口存在IDOR（不安全对象引用）漏洞，只需简单地递增一个用户编号，就可以逐个调取全国范围内所有应聘者的资料。【图2】

这个编号是递增的，意味着攻击者可以非常系统地、自动化地拉取整整6年来、6400万份简历。

被曝光的信息包括：【图3】

- 姓名、邮箱、电话、家庭住址

- 职位申请状态、填写过的所有表单

- 登录令牌，能模拟用户身份查看聊天记录等内容

而McHire是由Paradox.ai开发的系统，Paradox曾表示，90%的麦当劳门店都在用它进行招聘。

但在安全事件曝光后，那段视频已悄悄从官网删除。

目前漏洞已被修复，且似乎还未被其他攻击者利用。但6400万人的数据“裸奔”，只因一个最基础的错误——用123456做密码。

参考链接：www.tomshardware.com/tech-industry/cyber-security/mcdonalds-mchire-bot-exposed-personal-information-of-64m-people-by-using-123456-as-a-password-in-2025