GÜVENLİK SKANDALI ORTAYA ÇIKTI

Fast food devi McDonald’s, bu defa bir güvenlik skandalıyla gündemde. ABD’de işe alım süreçlerinde kullanılan McHire sistemi üzerinden yapılan başvurular, büyük bir veri sızıntısıyla karşı karşıya kaldı. Bunun nedeni ise sistem giriş şifresinin “123456” olması. Bu durumu, adeta kapıyı ardına kadar açık bırakmakla eşdeğer bir hata olarak değerlendirebiliriz. İki güvenlik araştırmacısı, bu büyük açığı ortaya çıkardı. Araştırmacılar, bu basit şifreyle sisteme girerek 64 milyon kişiye ait ad, adres, telefon numarası ve daha birçok kişisel veriye erişim sağladı. McHire, McDonald’s’ın işe alım platformu olarak işlev görüyor ve başvurular “Olivia” isimli yapay zeka destekli bir asistan aracılığıyla toplanıyor. Adaylar, bu sisteme kişisel bilgilerini girerek işe başvuruyor. Ancak bu durum, milyonlarca başvuru sahibinin verilerinin büyük bir ihmalle riske atıldığı anlamına geliyor.

BASİT AÇIK, MİLYONLARI TEHLİKEYE ATIYOR

Siber güvenlik araştırmacıları Ian Carroll ve Sam Curry, McHire sistemindeki ciddi bir açığı tespit etti. “Paradox team members” adlı bağlantıya sadece basit şifre kombinasyonlarıyla erişim sağlayan araştırmacılar, asıl tehlikenin sistemin derinliklerinde gizli olduğunu fark etti. Sistem içerisinde bulunan bir test API’si, “lead_id” adıyla çalışıyor ve kimlik doğrulama gerektirmeden kullanıcı verilerine ulaşılmasına imkan tanıyordu. Bu açık, başvuru yapan kişilerin adı, soyadı, adresi, e-posta adresi, telefon numarası ve başvuru süreçlerinin saniyeler içerisinde ifşa olmasına neden olabiliyordu. Bu kritik güvenlik zafiyeti, dünya genelinde 64 milyondan fazla kişisel verinin riske girmesine yol açtı.

ŞİRKETTEN GECİKİYOR CEVAP

Paradox.ai’ye durumu bildirmek isteyen araştırmacılar, firmanın web sitesinde doğrudan güvenlik ihlali bildirim alanı bulunmadığını fark etti. Ekip, rastgele e-posta adresleri aracılığıyla doğru kişilere ulaşarak açıkları iletti. Şirket, kısa süre içinde müdahale ederek güvenlik açığını kapattı ve sistemde geniş çaplı bir inceleme başlattığını duyurdu.