FAST FOOD DEVİ GÜVENLİK SKANDALINDA

McDonald’s, bu kez bir güvenlik skandalıyla gündemde. ABD’deki McHire sistemi üzerinden yapılan başvurular, büyük bir veri sızıntısıyla karşı karşıya kaldı. Bunun sebebi ise sistem giriş şifresinin sadece “123456” olması. Bu fahiş hata, iki güvenlik araştırmacısı tarafından keşfedildi. Araştırmacılar, bu basit şifre ile sisteme erişerek 64 milyon kişiye ait ad, adres, telefon numarası ve daha birçok kişisel veriye ulaşma imkanı buldu. McHire, McDonald’s’ın işe alım platformu olarak kullanılıyor ve başvurular “Olivia” isimli yapay zeka destekli bir asistan aracılığıyla alınıyor. Adaylar kişisel bilgilerini bu sisteme girerek işe başvuruyor. Ancak milyonlarca başvuru sahibinin verileri büyük bir ihmalle tehdit altında.

SİBER GÜVENLİK ARAŞTIRMACILARI TEHLİKEYİ GÜN YÜZÜNE ÇIKARDI

Siber güvenlik araştırmacıları Ian Carroll ve Sam Curry, McHire sisteminde ciddi bir açığı ortaya koydu. “Paradox team members” adlı bağlantıya yalnızca basit şifre kombinasyonlarıyla erişmeyi başaran araştırmacılar, asıl tehlikenin sistemin derinliklerinde gizli olduğunu fark etti. Sistem içerisinde bulunan bir test API’si, “lead_id” mantığı ile çalışıyor ve kimlik doğrulama gerektirmeden kullanıcı verilerine ulaşılmasına izin veriyor. Bu açık sayesinde, başvuru yapan kişilerin adı, soyadı, adresi, e-posta adresi, telefon numarası ve başvuru süreçleri yalnızca birkaç saniye içinde ifşa olabiliyor. Bu güvenlik zafiyeti, dünya genelinde 64 milyondan fazla kişisel verinin tehlikeye girmesine yol açtı.

ŞİRKET GEÇ CEVAP VERDİ, AÇIK KAPATILDI

Paradox.ai’ye durumu bildirmek isteyen araştırmacılar, firmanın web sitesinde doğrudan güvenlik ihlali bildirim alanı olmadığını fark etti. Ekip, rastgele e-posta adresleri aracılığıyla doğru kişilere ulaşarak açıkları iletti. Şirket kısa sürede müdahale ederek güvenlik açığını kapattı ve sistemde geniş çaplı bir inceleme başlattığını açıkladı.