McDonald’s Used 123456 as Corporate Password, Exposed 64 Million Data Files

14.07.2025 18:24

PYMNTS.com

Artificial intelligence (AI) is changing everything, especially cybersecurity. But a recent data breach suffered by McDonald’s, exposing the personal information of around 64 million of the company’s job applicants, wasn’t a failure of AI so much as a failure of the most basic cybersecurity principle: never leave the front door wide open.

The fast-food giant didn’t have its information compromised as a result of sophisticated malware or a zero-day exploit. Instead, the hackers won the war with a simple guessing game. McHire, McDonald’s AI-powered hiring chatbot, was configured with the default credentials 123456/123456 to access the administration interface for McHire restaurant accounts. No MFA, no brute-force protection, nothing.

Designed by Paradox.ai and deployed across tens of thousands of restaurants globally, McHire automates much of the company’s frontline hiring, from collecting applications to conducting interviews via a bot named “Olivia.” The chatbot had access to detailed personal information on job seekers across dozens of countries, and yet it appears that the keys to its admin panel required nothing more than the most guessable password in digital history.

This wasn’t an elite attack, and that’s exactly what makes it so troubling. It didn’t involve backdoors, rootkits or polymorphic code. It involved typing “123456” into a login box and making one small tweak to a URL.

From exposed cloud environments to third-party vendor vulnerabilities, today’s cyber threats are becoming more varied and insidious. In this new digital battlefield, safeguarding your perimeter is no longer about firewalls or antivirus software. It’s about identity, integration, and insight.

Passwords Make Everything Leaky as Attack Chains Move From Credentials to Chaos

For decades, enterprise cybersecurity strategies revolved around the notion of a clearly defined perimeter: secure what’s inside, keep the bad actors out. But cloud adoption, hybrid work, third-party tools, and bring-your-own-device (BYOD) policies have fragmented that perimeter into a patchwork of distributed endpoints and unseen attack vectors.

Still, the McHire breach highlights an uncomfortable truth about modern cybersecurity: while companies invest in next-generation technologies, many still fall victim to yesterday’s mistakes. In this case, the most avoidable mistake of all — using a default password — opened the door.

“It’s the tried and true advice that is often given,” Belsasar Lepe, co-founder and CEO of Cerby, stressed to PYMNTS. “Make it easy to turn on multifactor authentication for your end users. Ninety-nine percent of identity attacks are due to a lack of MFA just being turned on.”

One of Amazon’s flagship products, Amazon Web Services (AWS), last summer announced it was pushing ahead with making MFA mandatory for certain users.

Still, part of the problem lies in how technology like McHire is deployed. The McDonald’s franchise system is highly decentralized. Individual restaurant owners, not corporate headquarters, often manage the technology stack that governs hiring, scheduling, and operations. This structure creates opportunities for inconsistency — and gaps. A third-party platform like McHire may be integrated locally, configured quickly, and left largely untouched once operational. That’s how default credentials persist. That’s how no one notices until a researcher stumbles upon them.

McDonald’s did not immediately reply to PYMNTS’ request for comment.

Expanding Attack Surface Provides a Blueprint for Exploitation

The deeper issue can frequently lie in how enterprises view cybersecurity, especially when it comes to tools adopted outside traditional IT oversight. AI-driven tools are increasingly being implemented by line-of-business teams: HR, marketing, logistics. They’re seen as software as a service, quick to install, easy to use, and rarely scrutinized. The belief that “someone else” is handling security is pervasive.

PYMNTS reported in September that while businesses have traditionally focused on internal cybersecurity measures, today’s interconnected digital ecosystem demands a more holistic approach.

“In 2021, there were 400 data breach lawsuits filed,” Philip Yannella co-chair of the privacy, security and data protection practice at Blank Rome and the author of “Cyber Litigation: Data Breach, Data Privacy & Digital Rights,” 2025 edition, told PYMNTS. “Last year, there were over 2,000.”

“Data breaches are always the biggest danger, particularly for financial institutions … We’re going to go through a period where we see more breaches — potentially more expensive breaches — until companies can get their arms around how to deal with them,” Yannella added. “If you’re a bank, you’ve got to worry quite a bit about your vendors.”

The post McDonald’s Used 123456 as Corporate Password, Exposed 64 Million Data Files appeared first on PYMNTS.com.

Moscow.media

Частные объявления сегодня

Rss.plus

Все новости за 24 часа

Life24.pro

Эпилепсия в анамнезе

Группа компаний «ДИАКОН» провела успешную ежегодную конференцию для партнеров в Москве

Специалисты «ДИАКОН» установили современные анализаторы Lifotronic eCL-8000 в ведущих медицинских учреждениях России

Психолог Зберовский заявил, что расставание может помочь преодолеть зависимость

Today24.pro

Trump's cuts force Texas food banks to ration supplies for flood survivors

First confirmed death during Trump ICE raid is a farmworkers at a California cannabis facility

Son Of British Boxing Legend Retires From The Sport Aged Just 24: “Won’t Be Fighting Again”

Saturday updates: Madueke medical, Big Vik goes on strike

News24.pro

«Мне ничего не будет»: кавказцы устроили стрельбу возле ЗАГСа в Санкт-Петербурге

Главный архитектор BN Group: CLT-панели позволяют реализовать смелые идеи архитекторов

Певцам. Музыкантам. Артистам.

Travel-эксперт Тариел Гажиенко: топ 5 мест для путешествий в летний сезон

Game24.pro

I've swapped modern live service games for a browser game that's been running since 2009

Гайд на Fuqiu из Etheria Restart: навыки, PvE-билд, расклад в PvP и дубликаты

The Expanse RPG's developers are 'humbled' by comparisons to BioWare's heyday, but don't expect it to be a straight Mass Effect clone: 'We make our story a little bit differently'

MMORPG Lord Nine: Infinite Class выпустят в Юго-Восточной Азии 31 июля

Russia24.pro

Ремикс Песни. Создание ремикса Песни. Создание Хитового ремикса песни.

«Искуситель», «Актриса» и «Пиковая дама»: топ 3 спектаклей сентября

Москва прощается с жарой: жителей столицы предупредили о ливнях и грозах

«Турбозавры» поучаствовали в Дне московского транспорта

Другие проекты от SMI24.net

News-life

Апелляция: Экс-замминистра обороны Иванов и растрата 3,9 млрд рублей

Из трёх музеев Томской области томичи отправили по почте 500 «тёплых открыток»

Красные арки, синяя подсветка. В Москве строят новые пешеходные мосты

Татарстан вошел в число лидеров по количеству заявок на конкурс брендов «Знай наших»

Ru24.net

Апелляция: Экс-замминистра обороны Иванов и растрата 3,9 млрд рублей

АвтоВАЗ отгружает Lada Iskra дилерам. Цены объявят на этой неделе

В Москве мужчина ограбил магазин на АЗС, угрожая пистолетом

Юрист Хаминский назвал возможных наследников режиссёра Юрия Мороза

News.tennis

«Гордимся!»: Рустам Минниханов отметил успех Вероники Кудерметовой на Уимблдоне

Байопик Эша стал ближе к экрану

Кудерметова стала первой россиянкой, выигравшей парный разряд Уимблдона с 2017 года

Мирра Андреева вошла в топ-5 мирового рейтинга WTA.

29ru.net

«Сила в команде»: судебные приставы Кузбасса приняли участие во всероссийских хоккейных соревнованиях среди силовиков

МВД: мошенники крадут аккаунты «Госуслуг» под предлогом поступления в вуз

Жители Прикамья активно покупают билеты на транспорт в отделениях Почты России

Апелляция: Экс-замминистра обороны Иванов и растрата 3,9 млрд рублей

Музыкальные новости

Poisk-music.ru

Жена Басты сцепилась с Onlyfans-моделью Eva Bogut: подробности скандала

Юрий Лоза предрек Кристине Орбакайте крах карьеры в Европе

Создание Модели голоса. Создание Модели своего голоса. Создание AI модели голоса.

Жена Басты унизила поклонницу мужа, которой не понравился его концерт: «К цифровой проституции отношусь плохо»

Ria.city

«Турбозавры» поучаствовали в Дне московского транспорта

Красные арки, синяя подсветка. В Москве строят новые пешеходные мосты

Ремикс Песни. Создание ремикса Песни. Создание Хитового ремикса песни.

Москва прощается с жарой: жителей столицы предупредили о ливнях и грозах

Rss.plus

ТВ "Союз". Концерт духовной музыки при участии хоров из России состоялся в приходе иконы Божьей Матери «Всех скорбящих Радость»

Эквадор передаст России гражданина, похитившего миллионы из Социального фонда

Создание Ремикса. Создание ремикса музыки. Создание хитовых ремиксов музыки.

Чемпионат по мини-футболу среди подразделений Росгвардии прошёл в Грозном

Auto.russia24.pro

Красные арки, синяя подсветка. В Москве строят новые пешеходные мосты

В Москве мужчина ограбил магазин на АЗС, угрожая пистолетом

Вскрытие без последствий – сервис «Спас-замков»

СМИ: Байкер разбился насмерть в ДТП с машиной на Раменской пойме в Подмосковье

Putin.russia24.pro

В РФ раскрыли замысел Трампа после его попыток шантажировать Путина

"Пока Путин не заметит это безобразие": Пономарев резко высказался о легионерах в РПЛ

Посол Акира Муто: Япония будет приветствовать возможную встречу Путина и Трампа

Путин отметил успех школьников на Международной химической олимпиаде.

Health.russia24.pro

Клинический психолог Юлия Тарибо: каким типам личностей сложно было вместе

Травмированного на репетиции в цирке Москвы акробата выписали из больницы

Врач-трихолог Мадина Осман: как часто можно делать пересадку волос

Группа компаний «ДИАКОН» провела успешную ежегодную конференцию для партнеров в Москве

Zelensky.russia24.pro

ВСУ атаковали дронами женщин под Сумами: Били за надпись "Мы русские"

Sport.russia24.pro

Травмированного на репетиции в цирке Москвы акробата выписали из больницы

Раскрыто расписание Олимпийских игр 2028 года в Лос-Анджелесе.

«Турбозавры» поучаствовали в Дне московского транспорта

ФК «Спартак» продлил контракт с полузащитником Мартинсом

Lukashenko.russia24.pro

Лукашенко заявил о необходимости проверки чиновников за манипуляции с ценами.

«Нам в Минске надо учиться». Лукашенко похвалил Беглова за зимнюю уборку Петербурга

Лукашенко предложил Петербургу ремонтировать всю белорусскую технику

Петербургская делегация провела переговоры с президентом Беларуси в Минске

Person.russian.city

Собянин рассказал, какие пешеходные мосты построят в Москве до 2027 года

Сергей Собянин: Взяли курс на развитие высокотехнологичного сектора

Сергей Собянин: В Москве появятся три новых пешеходных моста к 2027 году

Собянин рассказал о предпрофессиональных каникулах для школьников

Ecology.russia24.pro

Платформа Spark.ru - полезное пространство для представителей малого и среднего бизнеса

Spark.ru - экосистема, объединяющая представителей бизнеса, экспертов и инвесторов

РЭО проведет акселератор для экоцентров на базе Плехановского университета

В НОВОМ ОТЧЕТЕ LG ОБ УСТОЙЧИВОМ РАЗВИТИИ ОТМЕЧЕН ПРОГРЕСС В ДОСТИЖЕНИИ ЭКОЛОГИЧЕСКИХ ЦЕЛЕЙ 2030 ГОДА

29ru.net

В Подмосковье за один вечер молнии три раза ударили в дома

«Союз-Аполлон» — вторая встреча над Эльбой. А можем повторить?

Многим рискует: юрист сказал, как сидит «золотой» экс-полковник Захарченко

«Сила в команде»: судебные приставы Кузбасса приняли участие во всероссийских хоккейных соревнованиях среди силовиков

Severodvinsk.ws

Фестиваль духовых оркестров пройдет в трех городах Поморья по случаю Дня ВМФ

В городе Барнауле стартовал третий этап смотра-конкурса на звание "Лучшее звено газодымозащитной службы" среди Главных управлений МЧС России

Беспроводной сканер штрих-кодов SAOTRON P05i промышленного класса

Алтайский край оказался в числе регионов-аутсайдеров по доступности вторичного жилья

Sevpoisk.ru

Прогноз погоды в Крыму на 13 июля

Крыму и еще 24 регионам России спишут долги на миллиарды рублей

Под Симферополем горят десятки гектаров леса

Десятки улиц Симферополя остались без света 14 июля

103news.com

АвтоВАЗ отгружает Lada Iskra дилерам. Цены объявят на этой неделе

В Москве мужчина ограбил магазин на АЗС, угрожая пистолетом

(НЕ)СЕКРЕТНУЮ СЛУЖБУ США ПОДОЗРЕВАЮТ В ПОСТАНОВКЕ СЦЕНЫ ПОКУШЕНИЯ НА ТРАМПА. СЕНСАЦИЯ! Новости. В.В. Путин, Дональд Трамп. Россия, США, Европа могут улучшить отношения и здоровье общества!

«Союз-Аполлон» — вторая встреча над Эльбой. А можем повторить?

Агрегатор новостей 24СМИ