McDonald’s Franchise’lerinin Kullanımında Olan McHire Sisteminde Güvenlik Açığı Keşfedildi
Global çapta yaygın olarak kullanılan McDonald’s franchise’lerinin %90’ı tarafından tercih edilen işe alım platformu McHire üzerinde kritik bir güvenlik açığı ortaya çıktı. Araştırmacılar, sadece ve sadece “123456” şifresiyle erişilebilen yöneticilere özel panelin, milyonlarca adayın kişisel verilerine ulaşılmasını sağladığını tespit etti. Bu durum, büyük bir veri sızıntısı riskini beraberinde getiriyor ve kişisel gizlilik açısından ciddi endişeleri tetikliyor.
McHire ve Yapay Zeka Destekli İşe Alım Süreci
Bilgilere göre, McHire platformu, Paradox.ai tarafından geliştirilmiş ve “Olivia” adlı yapay zeka asistanı üzerinden çalışan, sohbet tabanlı bir sistem. Bu platform, restoranların yeni çalışanlarını seçerken iletişim bilgileri, vardiya tercihleri ve kişilik testi sonuçları gibi detayları topluyor ve kaydediyor. Sistem, adayların başvurularını kolaylaştırmak ve hızlandırmak amacıyla tasarlanmış olsa da, güvenlik açıkları nedeniyle ciddi riskler barındırıyor.
Güvenlik Açığının Detayları ve Açığa Çıkan Bilgiler
Geliştiricilerin sadece birkaç deneme ile ulaşabildiği yönetici paneli, büyük bir kolaylıkla erişime açık hale geldi. Panel girişinde kullanılan “123456” gibi yaygın ve zayıf şifreler, sistemin güvenliğini tamamen tehlikeye attı. Ayrıca, araştırmacılar, “lead_id” adlı bir parametre üzerinden çalışan ve herhangi bir kimlik doğrulama veya erişim kontrolü olmayan bir API’ye de ulaşmayı başardı. Bu API, herhangi bir kullanıcı doğrulaması olmadan, geçmişte McDonald’s’a başvurmuş olan kişilerin detaylı kişisel bilgilerine ulaşmaya imkan sağlıyordu.
Bu detaylar arasında şunlar bulunuyor:
- Ad, soyad, telefon numarası, e-posta ve açık adres
- Başvuru sürecindeki tüm adımlar ve kişilik testi cevapları
- Kullanıcıya özel doğrulama token’ları ve chat geçmişi
- Sistem içi mesajlaşmalar ve iletişim kayıtları
Veri Sızıntısının Boyutları ve Potansiyel Riskler
Bu açık sayesinde, toplamda 64 milyonun üzerinde McDonald’s başvurusuna ait veriye erişim sağlandığı tahmin ediliyor. Kişisel bilgilerin bu kadar geniş çapta sızması, kimlik hırsızlığı, dolandırıcılık ve diğer kötü niyetli faaliyetler için büyük bir olanak sunuyor. Güvenlik uzmanları, bu denli büyük bir veri kaybının ciddi sonuçlar doğurabileceği konusunda uyarıyor.
Geliştiricilerin ve Paradox.ai’nin Tepkisi
Fark edilen bu ciddi güvenlik açığı sonrası, araştırmacılar durumu derhal Paradox.ai ile paylaştı. Ancak, şirketin resmi güvenlik bildirim ve iletişim kanallarında herhangi bir açık bildirim veya uyarı bulunmuyordu. Araştırmacılar, rastgele e-posta adresleri aracılığıyla durumu duyurmaya çalıştı. Sonrasında, doğru kişilere ulaşılmasıyla birlikte, Paradox.ai temsilcileri hızlıca harekete geçti ve sorunu çözmeye başladı. Sistem üzerinde kapsamlı bir inceleme ve düzeltme çalışması başlatıldı.
Sonuç ve Alınması Gereken Önlemler
Bu olay, dijital güvenlik konusunda ne kadar dikkatli olunması gerektiğini bir kez daha gösterdi. Özellikle, zayıf şifrelerin kullanımı ve API güvenliğinin ihmal edilmesi, büyük veri kayıplarına neden olabiliyor. Şirketlerin, kullanıcı verilerini korumak adına güçlü kimlik doğrulama ve erişim kontrolü mekanizmaları geliştirmeleri büyük önem taşıyor. Ayrıca, kullanıcılar da çeşitli güvenlik önlemleri alarak, kişisel bilgilerinin korunmasını sağlayabilirler.
Kaynak: Webtekno
