• McDonald's işe alım sistemi McHire'da, 64 milyon başvuru sahibini etkileyen büyük bir veri sızıntısı yaşandı.
• Güvenlik açığının, yönetici paneline "123456" gibi son derece basit bir şifreyle girilebilmesinden ve korumasız bir API'den kaynaklandığı tespit edildi.
• Sızdırılan veriler arasında başvuru sahiplerinin ad, soyad, telefon, e-posta, adres ve kişilik testi sonuçları gibi kritik bilgiler yer aldı.
• Açığı keşfeden araştırmacıların uyarısı üzerine, geliştirici firma Paradox.ai sorunu gidererek sistemde geniş çaplı bir inceleme başlattı.

Yönetici paneline '123456' şifresiyle girilebiliyormuş

McDonald’s franchise'larının yaklaşık %90'ı tarafından kullanılan işe alım platformu McHire’da ciddi bir güvenlik zafiyeti ortaya çıkarıldı. Paradox.ai firmasının geliştirdiği sohbet tabanlı sistem, yeni çalışan başvurularını "Olivia" adlı bir yapay zeka asistanı aracılığıyla topluyordu.

Araştırmacılar, sistemin yönetici paneline "123456" gibi son derece zayıf bir kullanıcı adı ve şifre kombinasyonuyla giriş yapılabildiğini keşfetti. Bu basit adım, milyonlarca başvuru sahibinin verilerine giden kapıyı aralamış oldu.

Asıl zafiyet korumasız bir API'den kaynaklandı

Araştırmacılar, sistemdeki asıl büyük güvenlik açığının, "lead_id" adı verilen bir numarayla çalışan korumasız bir API olduğunu tespit etti.

Normalde geliştiricilerin iç testler için kullandığı bu API, herhangi bir kimlik doğrulaması veya erişim kontrolü gerektirmiyordu. Bu zafiyet sayesinde, geçmişte McDonald’s’a başvurmuş herhangi bir kişinin verilerine doğrudan ulaşılabiliyordu.

64 milyon kişinin kişisel verileri ifşa oldu

Bu açık üzerinden dünya çapında 64 milyondan fazla başvuru sahibinin kritik bilgileri sızdırıldı. İfşa olan veriler arasında kişilerin adı, soyadı, telefon numarası, e-postası, açık adresi ve başvuru sürecindeki kişilik testi cevapları gibi hassas bilgiler bulunuyordu.

Daha da endişe verici olan ise her kullanıcıya özel atanan doğrulama "token"larının da sızdırılmış olmasıydı. Bu token'lar, kötü niyetli kişilerin başvuru sahipleri adına sisteme giriş yapmasına ve tüm sohbet geçmişlerini görmesine imkân tanıyordu.

Geliştirici firma açığı kapattığını duyurdu

Durumu fark eden araştırmacılar, derhal sistemin geliştiricisi Paradox.ai ile iletişime geçmeye çalıştı. Şirketin güvenlik sayfasında bir iletişim kanalı bulmakta zorlanan ekip, sonunda rastgele e-posta adresleri üzerinden doğru kişilere ulaşmayı başardı.

Uyarının ardından hızla harekete geçen Paradox.ai temsilcileri, güvenlik açığını kapattıklarını ve sistemlerinde geniş çaplı bir inceleme başlattıklarını bildirdi.