Dünyaca ünlü fast food zinciri McDonald’s, şimdiye kadarki en büyük dijital güvenlik skandallarından biriyle gündemde. McDonald’s’ın işe alım sistemi McHire üzerinden yönetici panellerine yalnızca “123456” gibi basit bir şifreyle erişilebildiği ortaya çıktı. Açık sayesinde dünya genelinde 64 milyondan fazla başvuru sahibinin kişisel verileri sızdırıldı.
MCHIRE SİSTEMİNDE CİDDİ GÜVENLİK AÇIĞI
McDonald’s franchise’lerinin %90’ı tarafından kullanılan McHire, Paradox.ai şirketi tarafından geliştirilen ve yapay zekâ destekli “Olivia” adlı asistan üzerinden başvuruları toplayan bir sistem. Platform; kullanıcıların iletişim bilgilerini, vardiya tercihlerini ve kişilik testi yanıtlarını kaydediyor.
Araştırmacılar, sistemin yönetici paneline yalnızca birkaç deneme ile erişim sağlayabildiklerini aktardı. “Paradox team members” bağlantısı üzerinden ulaşılan panele, kullanıcı adı ve şifre alanına “123456” gibi yaygın bir kombinasyon yazıldığında sistemin doğrudan oturum açtığı keşfedildi.
TEK SORUN ŞİFRE DEĞİLDİ: KİMLİK DOĞRULAMA BİLE YOKTU
Asıl güvenlik zafiyeti ise sistemin arka planındaki “lead_id” üzerinden çalışan bir API'de gizliydi. Geliştiricilerin iç testlerinde kullandığı bu API, herhangi bir kimlik doğrulama mekanizması olmadan kullanıcı verilerini açığa çıkarıyordu. Bu açık sayesinde, geçmişte McDonald’s’a başvurmuş kişilere ait:
Ad, soyad, telefon numarası, e-posta, adres
Başvuru süreci bilgileri ve kişilik testi cevapları
Kullanıcıya özel doğrulama token’ları
Chat geçmişi ve sistem içi tüm mesajlaşmalar
gibi veriler erişilebilir durumdaydı.
64 MİLYON KİŞİLİK DEV SIZINTI
Araştırmacıların açıklamasına göre, bu açık dünya çapında 64 milyondan fazla McDonald’s başvurusunu etkiledi. Sızdırılan verilerin, kullanıcılar adına sisteme erişim sağlanabilecek seviyede olduğu belirtiliyor.
PARADOX.AI: AÇIK KAPATILDI, İNCELEME BAŞLATILDI
Durumu fark eden araştırmacılar, Paradox.ai şirketi ile iletişime geçmeye çalıştı. Ancak firmanın resmi güvenlik sayfasında herhangi bir açık bildirim kanalı bulunmuyordu. Ekip, rastgele e-posta adreslerine ulaşmaya çalışarak durumu duyurdu. Sonunda doğru kişilere ulaşıldığında Paradox.ai yetkilileri harekete geçerek açığın kapatıldığını ve sistemde geniş çaplı bir inceleme başlattıklarını duyurdu.
sozcu.com.tr
