McDonald’s’ta İnanılmaz hata! “123456” şifresiyle milyonlarca bilgi çalındı

Fast food devi McDonald’s, bu kez bir güvenlik skandalıyla gündemde. ABD’de işe alım sürecinde kullanılan McHire sistemi üzerinden yapılan başvurular, büyük bir veri sızıntısıyla karşı karşıya kaldı. Sebep mi? Sistem giriş şifresi sadece “123456” idi!

Siber güvenlik araştırmacıları Ian Carroll ve Sam Curry, McHire sisteminde ciddi bir açığı ortaya çıkardı. Araştırmacılar, bu basit şifreyle sisteme erişerek 64 milyon kişiye ait ad, adres, telefon numarası ve daha birçok kişisel veriye ulaşabildi.

McHire, McDonald’s’ın işe alım platformu olarak kullanılıyor ve başvurular “Olivia” isimli yapay zeka destekli bir asistan aracılığıyla alınıyor. Adaylar bu sisteme kişisel bilgilerini girerek işe başvuruyor. Ancak görünen o ki, milyonlarca başvuru sahibinin verileri büyük bir ihmalle riske atılmış durumda.

Basit Bir Açık, Milyonları Tehlikeye Attı

 “Paradox team members” adlı bağlantıya yalnızca basit şifre kombinasyonlarıyla erişmeyi başaran araştırmacılar, asıl tehlikenin sistemin derinlerinde gizli olduğunu fark etti.

Sistem içerisinde bulunan bir test API’si, “lead_id” adı verilen mantıkla çalışıyor ve herhangi bir kimlik doğrulama gerektirmeden kullanıcı verilerine ulaşılmasına izin veriyordu. Bu açık sayesinde, başvuru yapan kişilerin adı, soyadı, adresi, e-posta adresi, telefon numarası ve başvuru süreçleri yalnızca saniyeler içinde ifşa olabiliyordu.

Bu kritik güvenlik zafiyeti, dünya genelinde 64 milyondan fazla kişisel verinin riske girmesine neden oldu.

Şirket Gecikmeli Yanıt Verdi, Açık Kapatıldı
Paradox.ai'ye durumu bildirmek isteyen Ian Carroll ve Sam Curry, firmanın web sitesinde doğrudan güvenlik ihlali bildirim alanı olmadığını da görünce, rastgele e-posta adresleri üzerinden doğru kişilere ulaşarak açıkları iletti. Şirket kısa sürede müdahale ederek güvenlik açığını kapattı ve sistemde geniş çaplı inceleme başlattığını duyurdu.