Dünyaca ünlü fast food zinciri McDonald’s, şimdiye kadarki en büyük dijital güvenlik skandallarından biriyle gündemde. McDonald’s’ın işe alım sistemi McHire üzerinden yönetici panellerine sadece “123456” üzere kolay bir şifreyle erişilebildiği ortaya çıktı. Açık sayesinde dünya genelinde 64 milyondan fazla müracaat sahibinin ferdî bilgileri sızdırıldı.
MCHIRE SİSTEMİNDE ÖNEMLİ GÜVENLİK AÇIĞI
McDonald’s franchise’lerinin %90’ı tarafından kullanılan McHire, Paradox.ai şirketi tarafından geliştirilen ve yapay zekâ dayanaklı “Olivia” isimli asistan üzerinden müracaatları toplayan bir sistem. Platform; kullanıcıların irtibat bilgilerini, vardiya tercihlerini ve kişilik testi cevaplarını kaydediyor.
Araştırmacılar, sistemin yönetici paneline sadece birkaç deneme ile erişim sağlayabildiklerini aktardı. “Paradox team members” irtibatı üzerinden ulaşılan panele, kullanıcı ismi ve şifre alanına “123456” üzere yaygın bir kombinasyon yazıldığında sistemin direkt oturum açtığı keşfedildi.
TEK SORUN ŞİFRE DEĞİLDİ: KİMLİK DOĞRULAMA BİLE YOKTU
Asıl güvenlik zafiyeti ise sistemin art planındaki “lead_id” üzerinden çalışan bir API’de saklıydı. Geliştiricilerin iç testlerinde kullandığı bu API, rastgele bir kimlik doğrulama sistemi olmadan kullanıcı datalarını açığa çıkarıyordu. Bu açık sayesinde, geçmişte McDonald’s’a başvurmuş şahıslara ilişkin:
Ad, soyad, telefon numarası, e-posta, adres
Başvuru süreci bilgileri ve kişilik testi cevapları
Kullanıcıya özel doğrulama token’ları
Chat geçmişi ve sistem içi tüm mesajlaşmalar
gibi bilgiler erişilebilir durumdaydı.
64 MİLYON KİŞİLİK DEV SIZINTI
Araştırmacıların açıklamasına nazaran, bu açık dünya çapında 64 milyondan fazla McDonald’s başvurusunu etkiledi. Sızdırılan dataların, kullanıcılar ismine sisteme erişim sağlanabilecek düzeyde olduğu belirtiliyor.
PARADOX.AI: AÇIK KAPATILDI, İNCELEME BAŞLATILDI
Durumu fark eden araştırmacılar, Paradox.ai şirketi ile irtibata geçmeye çalıştı. Lakin firmanın resmi güvenlik sayfasında rastgele bir açık bildirim kanalı bulunmuyordu. Grup, rastgele e-posta adreslerine ulaşmaya çalışarak durumu duyurdu. Sonunda gerçek şahıslara ulaşıldığında Paradox.ai yetkilileri harekete geçerek açığın kapatıldığını ve sistemde geniş çaplı bir inceleme başlattıklarını duyurdu.
