VERİ SIZINTISIYLA GÜNDEMDE
Fast food zinciri McDonald’s, bu sefer bir güvenlik skandalıyla karşımıza çıkıyor. ABD’de kullanılan McHire isimli işe alım sistemi üzerinden yapılan başvurularda önemli bir veri sızıntısı meydana geldi. Nedeni ise oldukça basit bir giriş şifresi: “123456”! Bu dikkat çekmeyen hata, iki güvenlik araştırmacısı tarafından keşfedildi. Araştırmacılar bu şifreyle sisteme erişim sağlayarak 64 milyon insana ait ad, adres, telefon numarası gibi pek çok kişisel veriye ulaşabildi. McHire, McDonald’s’ın işe alım platformu olarak iş görüyor ve adaylar “Olivia” isimli yapay zeka destekli bir asistan aracılığıyla başvuru yapıyor. Ancak, bu durum milyonlarca başvuru sahibinin verilerinin büyük bir ihmal sonucu ciddi bir tehlikeye girmesine sebep oldu.
İKİ ARAŞTIRMACIYLA ORTAYA ÇIKTI
Siber güvenlik uzmanları Ian Carroll ve Sam Curry, McHire sisteminde büyük bir açığın varlığını gözler önüne serdi. “Paradox team members” adıyla bilinen bağlantıya sadece basit şifre kombinasyonlarıyla erişim sağlamayı başaran araştırmacılar, asıl riskin sistemin derinliklerinde gizli olduğunu fark etti. Sistem içinde yer alan bir test API’si, “lead_id” adı verilen bir mantıkla çalışıyor ve kimlik doğrulama gereği duymadan kullanıcı verilerine ulaşılabilmesine imkan tanıyordu. Bu açık sayesinde, başvuran kişilerin adı, soyadı, adresi, e-posta adresi, telefon numarası ve başvuru süreçleri yalnızca dakikalar içinde ifşa olabiliyordu. Bu kritik güvenlik açığı, dünya genelinde 64 milyondan fazla kişisel verinin tehdit altında kalmasına yol açtı.
ŞİRKETİN YANITI VE GÜVENLİK ÖNLEMLERİ
Paradox.ai’ye durumu bildirmeye çalışan araştırmacılar, firmanın web sitesinde güvenlik ihlali bildirimi için doğrudan bir alan bulamadı. Ekip, rastgele e-posta adresleri aracılığıyla doğru kişilere ulaşarak güvenlik açıklarını iletmeyi başardı. Şirket ise kısa sürede harekete geçerek güvenlik açığını kapattı ve sistemde geniş çaplı bir inceleme süreci başlattığını duyurdu.