Een zwak wachtwoord en gebrekkige beveiliging ontmaskeren de schaduwzijde van AI in HR.
AI-hulpmiddel verandert in datalekmachine
Wat begon als een geavanceerde toepassing van kunstmatige intelligentie voor personeelswerving, is voor McDonald’s uitgedraaid op een nachtmerrie. Een beveiligingslek in het AI-recruitmentplatform van de fastfoodgigant heeft de persoonlijke gegevens van maar liefst 64 miljoen sollicitanten blootgelegd. De oorzaak? Een simpel wachtwoord: 123456.
Bugjagers ontdekken de zwakte
Het incident kwam aan het licht dankzij ethische hackers die het systeem onderzochten en met verbazing ontdekten dat toegang tot een van de belangrijkste databases mogelijk was met één van de meest cliché-wachtwoorden ter wereld. De database bevatte gevoelige informatie van sollicitanten uit meerdere landen, waaronder namen, e-mailadressen, telefoonnummers, woonadressen en in sommige gevallen ook CV’s en antwoorden op screeningvragen.
Hoewel er geen bewijs is van misbruik door cybercriminelen, geeft het incident aan hoe kwetsbaar geautomatiseerde systemen zijn zonder de juiste beveiligingsmaatregelen.
AI als zwakke schakel
McDonald’s had eerder dit jaar vol ingezet op AI om het rekruteringsproces te versnellen en standaardiseren. Kandidaten werden via een chatbot gescreend op basis van vooraf ingestelde criteria. De AI moest HR-medewerkers ontlasten en de sollicitatieprocedure vereenvoudigen. Ironisch genoeg werd juist deze technologie nu de toegangspoort tot miljoenen persoonlijke dossiers.
De gebrekkige beveiliging werd verergerd doordat toegang tot het systeem nauwelijks werd gemonitord. Ook ontbraken basismaatregelen zoals tweefactorauthenticatie of sterke wachtwoordvereisten. Beveiligingsexperts noemen het “een schoolvoorbeeld van hoe AI-systemen zonder menselijke waakzaamheid enorme risico’s kunnen vormen.”
Reactie van McDonald’s en het grotere plaatje
McDonald’s heeft het lek inmiddels bevestigd en benadrukt dat er onmiddellijk maatregelen zijn genomen om het platform offline te halen en de getroffen gebruikers te informeren. Een extern forensisch team onderzoekt het incident.
Toch roept het datalek bredere vragen op over het gebruik van kunstmatige intelligentie in HR-processen. Bedrijven worden steeds afhankelijker van AI-systemen om personeel te werven, screenen en selecteren. Maar als die systemen niet goed worden beveiligd, kunnen ze leiden tot datalekken op ongekende schaal.
De les: AI vereist volwassen beveiliging
Het incident onderstreept dat AI geen magische oplossing is die menselijke fouten elimineert. Integendeel, zonder degelijke beveiligingspraktijken vormen zulke systemen juist een extra risico. Wachtwoorden als “123456” mogen dan misschien als grap worden gebruikt in cyberveiligheidsopleidingen, in de praktijk hebben ze nu geleid tot een van de grootste datalekken in de geschiedenis van HR-technologie.
Bedrijven die AI willen inzetten, moeten beseffen dat technologische vooruitgang hand in hand moet gaan met digitale verantwoordelijkheid — en dat geldt zeker voor de bescherming van persoonsgegevens.
McDonald’s AI Hiring Bot Exposed Millions of Applicants’ Data to Hackers Who Tried the Password ‘123456’Basic security flaws left the personal info of tens of millions of McDonald’s job-seekers vulnerable on the “McHire” site built by AI software firm Paradox.ai. |
