Haberlerimizi İnstagram , TikTok ve Youtube hesaplarımızdan da takip edebilirsiniz.
McDonald’s, bu kez mutfağıyla değil dijital güvenliğiyle manşetlerde. ABD merkezli işe alım platformu McHire’da ortaya çıkan büyük bir güvenlik açığı, dünya genelinde tam 64 milyon başvuru sahibinin kişisel bilgilerini tehlikeye attı. Sistem yöneticilerine ayrılmış alana giriş için kullanılan şifre inanılmaz düzeyde zayıftı: “123456”.
Sistem açığıyla neler ortaya çıktı?
McHire, McDonald’s restoranlarının yeni çalışanları seçmek için kullandığı yapay zeka destekli bir işe alım aracı. Paradox.ai tarafından geliştirilen bu sistem, başvuruları “Olivia” adlı dijital asistan üzerinden topluyor. Adayların isimlerinden adres bilgilerine, telefon numaralarından kişilik testi yanıtlarına kadar birçok veri burada saklanıyor.
Siber güvenlik araştırmacıları Ian Carroll ve Sam Curry’nin basit birkaç deneme ile keşfettiği açık, inanılır gibi değildi. “123456” gibi tahmin edilebilir bir şifre ile sisteme giriş yapan uzmanlar, milyonlarca kişinin özel verilerine saniyeler içinde erişebildi.
Sonhaber'i takip etmek ve haberlerimizin doğrudan telefonunuza gelmesini sağlamak için buraya tıklayın.
Sadece şifre değil, yazılım da savunmasızdı
Asıl sorun yalnızca zayıf şifreyle sınırlı kalmadı; sistemin yazılım tarafında da ciddi bir açık keşfedildi. Güvenlik araştırmacıları, McHire platformunun içinde “lead_id” adı verilen bir API yapısı üzerinden kullanıcı verilerine erişim sağlandığını belirledi. Bu mekanizma herhangi bir kimlik doğrulaması gerektirmediği için sistem, milyonlarca başvuru sahibinin bilgilerini doğrudan dış erişime açtı. Sızdırılan veriler arasında isim, soyisim, telefon numarası, e-posta adresi, açık adres bilgisi, başvuru sırasında girilen kişilik testi yanıtları ve vardiya tercihleri yer alıyordu. Dahası, kullanıcıya özel oluşturulan giriş token’ları ve sistem içindeki chat geçmişleri bile tamamen erişilebilir durumdaydı.
Paradox.ai geç müdahale etti, sistem inceleniyor
Araştırmacılar, açığı fark ettikten sonra sistem geliştiricisi Paradox.ai’ye ulaşmaya çalıştı. Şirketin web sitesinde doğrudan bir güvenlik bildirimi kanalı bulunmadığı için ekip rastgele e-posta adresleri üzerinden bağlantı kurmayı denedi. Nihayet doğru yetkililere ulaşıldığında, Paradox.ai açığın kapatıldığını ve sistemde kapsamlı bir inceleme başlatıldığını duyurdu.
©Sonhaber.eu