Dünyanın en büyük fast food zincirlerinden biri olan McDonald’s, tarihinin en büyük dijital güvenlik skandallarından biriyle karşı karşıya. McDonald’s’ın işe alım platformu McHire’da, yönetici paneline sadece “123456” gibi basit bir şifreyle giriş yapılabildiği ve bu açık üzerinden 64 milyondan fazla kişisel verinin tehlikeye girdiği ortaya çıktı.
Yapay Zekâ Destekli Başvuru Sistemi
McHire sistemi, McDonald’s’ın dünya çapındaki işe alımlarında kullandığı bir platform. Paradox.ai tarafından geliştirilen sistem, “Olivia” adlı yapay zekâ asistanı üzerinden başvuruları alıyor ve adayların iletişim bilgileri, vardiya tercihleri, kişilik testleri gibi birçok veriyi işliyor.
Yönetici Paneline Erişim İçin Sadece Birkaç Tahmin Yeterli Oldu
Araştırmacılar, McHire sisteminin yönetici paneline yalnızca birkaç deneme ile erişilebildiğini açıkladı. “Paradox team members” bağlantısından erişilen oturum açma ekranında, kullanıcı adı ve şifre alanlarına “123456” gibi yaygın kombinasyonlar girildiğinde sistemin doğrudan girişe izin verdiği belirlendi.
Kimlik Doğrulama Yok
Sistemdeki en büyük zafiyet ise arka planda çalışan API’de gizliydi. Geliştiricilerin iç testleri için bıraktığı bu yapı, kimlik doğrulama olmadan çalışıyor ve başvuru sahiplerine ait kritik verilere doğrudan erişim sağlıyordu. Erişilen bilgiler arasında:
- Ad, soyad, e-posta, telefon ve adres
- Başvuru süreçlerine ait tüm kayıtlar
- Kişilik testleri ve kullanıcı mesajları
- Doğrulama token’ları ve sistem içi konuşmalar gibi hassas veriler bulunuyor.
64 Milyon Başvuru Etkilendi
Güvenlik araştırmacıları, söz konusu açığın dünya genelinde 64 milyondan fazla başvuruyu etkilediğini duyurdu. Sızdırılan verilerin, yalnızca okunabilir değil, aynı zamanda kullanıcı adına sisteme giriş yapabilecek nitelikte olduğu belirtildi.
Paradox.ai Açığı Kapatıp İnceleme Başlattı
Açığı tespit eden ekip, Paradox.ai şirketine ulaşmaya çalıştı ancak şirketin güvenlik bildirim sayfasında resmi bir iletişim kanalı bulunmuyordu. Araştırmacılar, rastgele e-posta adreslerine mesaj atarak durumu bildirdi. Sonunda şirket yetkililerine ulaşıldı ve açık kapatıldı. Paradox.ai tarafından yapılan açıklamada, sistemde kapsamlı bir güvenlik incelemesi başlatıldığı belirtildi.
