McDonald’s के AI Hiring Tool में बड़ा सिक्योरिटी ब्रीच, ‘123456’ पासवर्ड से 64 मिलियन लोगों का डाटा हुआ एक्सपोज

McDonald’s के AI बेस्ड हायरिंग प्लेटफॉर्म McHire में एक बड़ा सिक्योरिटी बग सामने आया है। सिक्योरिटी एक्सपर्ट्स ने बताया कि इस प्लेटफॉर्म में डिफॉल्ट एडमिन पासवर्ड ‘123456’ था, जिसकी मदद से कोई भी व्यक्ति सीधे सिस्टम में लॉग इन कर सकता था। इससे लगभग 6.4 करोड़ लोगों की पर्सनल जानकारी जैसे कि नाम, कॉन्टैक्ट डिटेल्स और इंटरव्यू चैट्स एक्सेस की जा सकती थी।

कैसे मिला बग

इस बग को जून 2025 के आखिर में साइबर सिक्योरिटी एक्सपर्ट्स Ian Carroll और Sam Curry ने खोजा। उन्होंने पाया कि McHire के एडमिन पैनल में बिना किसी सिक्योर चेक के डिफॉल्ट पासवर्ड से लॉग इन किया जा सकता है। इतना ही नहीं, एक इंटरनल API में IDOR (Insecure Direct Object Reference) बग था, जिससे एक-एक नंबर बदलकर किसी भी कैंडिडेट की जानकारी तक आसानी से पहुंचा जा सकता था।

किस तरह का डेटा लीक हुआ

इस बग से उम्मीदवारों की कई जरूरी और प्राइवेट जानकारियां सामने आ सकती थीं, जैसे नाम, ईमेल और फोन नंबर, Olivia नाम की AI चैटबॉट से हुई बातचीत, जॉब एप्लिकेशन का फॉर्म और टाइमस्टैम्प, शिफ्ट प्रेफरेंस और पर्सनैलिटी टेस्ट के रिजल्ट। ऐसे टोकन जिनसे कोई भी व्यक्ति किसी और कैंडिडेट की जगह बनकर सिस्टम में एक्ट कर सकता था।

क्या कहा एक्सपर्ट्स ने

Black Duck कंपनी में सीनियर कंसल्टिंग मैनेजर Aditi Gupta ने कहा, “McDonald’s का ये केस दिखाता है कि बड़ी AI टेक्नोलॉजी भी छोटी गलतियों से हैक हो सकती है। कंपनियों को चाहिए कि नई टेक्नोलॉजी लाते वक्त बेसिक सिक्योरिटी को नजरअंदाज न करें।”

Evan Dornbush, Desired Effect कंपनी के CEO ने कहा कि AI सिस्टम्स को चलाने के लिए सिर्फ टूल्स ही नहीं, सही समझ भी जरूरी है। नहीं तो एक छोटी गलती बड़ी मुसीबत बन सकती है।

McDonald’s और Paradox.ai ने तुरंत किया फिक्स

30 जून को बग डिस्क्लोज करने के कुछ ही घंटों के अंदर McDonald’s और McHire की बनाने वाली कंपनी Paradox.ai ने इस बग को फिक्स कर दिया। 1 जुलाई तक डिफॉल्ट पासवर्ड हटाए जा चुके थे और API को सिक्योर किया गया।

Paradox ने बाद में बताया कि यह एक्सेस सिर्फ एक टेस्ट अकाउंट तक सीमित था और सिर्फ 5 कैंडिडेट्स की जानकारी देखी गई थी, वो भी सिर्फ रिसर्चर्स द्वारा। किसी बाहरी व्यक्ति ने यह डेटा एक्सेस नहीं किया और ना ही कोई जानकारी इंटरनेट पर लीक हुई।

क्यों बार-बार हो रही हैं ऐसी गलतियां

हाल के महीनों में देखा गया है कि कई हायरिंग प्लेटफॉर्म्स में सिक्योरिटी से जुड़ी चूकें सामने आ रही हैं। इसका कारण ऑटोमेशन और स्पीड को प्राथमिकता देना और सिक्योरिटी को पीछे छोड़ देना है।

MineOS कंपनी के CEO Kobi Nissan ने कहा, “कोई भी AI सिस्टम जो पर्सनल डेटा कलेक्ट करता है, उसे उतनी ही स्ट्रॉन्ग सिक्योरिटी चाहिए जितनी किसी बैंकिंग सिस्टम को। हर जगह प्रोपर लॉगिन, मॉनिटरिंग और डेटा एक्सेस कंट्रोल जरूरी है।”