Şifrenin kolaylığı nedeniyle gıda devi hacklendi! 64 milyon kişilik liste sızdı Sözcü Gazetesi

Dünyaca ünlü fast food zinciri McDonald’s, şimdiye kadarki en büyük dijital güvenlik skandallarından biriyle gündemde. McDonald’s’ın işe alım sistemi McHire üzerinden yönetici panellerine yalnızca “123456” gibi basit bir şifreyle erişilebildiği ortaya çıktı. Açık sayesinde dünya genelinde 64 milyondan fazla başvuru sahibinin kişisel verileri sızdırıldı.

MCHIRE SİSTEMİNDE CİDDİ GÜVENLİK AÇIĞI

McDonald’s franchise’lerinin %90’ı tarafından kullanılan McHire, Paradox.ai şirketi tarafından geliştirilen ve yapay zekâ destekli “Olivia” adlı asistan üzerinden başvuruları toplayan bir sistem. Platform; kullanıcıların iletişim bilgilerini, vardiya tercihlerini ve kişilik testi yanıtlarını kaydediyor.

Araştırmacılar, sistemin yönetici paneline yalnızca birkaç deneme ile erişim sağlayabildiklerini aktardı. “Paradox team members” bağlantısı üzerinden ulaşılan panele, kullanıcı adı ve şifre alanına “123456” gibi yaygın bir kombinasyon yazıldığında sistemin doğrudan oturum açtığı keşfedildi.

TEK SORUN ŞİFRE DEĞİLDİ: KİMLİK DOĞRULAMA BİLE YOKTU

Asıl güvenlik zafiyeti ise sistemin arka planındaki “lead_id” üzerinden çalışan bir API'de gizliydi. Geliştiricilerin iç testlerinde kullandığı bu API, herhangi bir kimlik doğrulama mekanizması olmadan kullanıcı verilerini açığa çıkarıyordu. Bu açık sayesinde, geçmişte McDonald’s’a başvurmuş kişilere ait:

Ad, soyad, telefon numarası, e-posta, adres

Başvuru süreci bilgileri ve kişilik testi cevapları

Kullanıcıya özel doğrulama token’ları

Chat geçmişi ve sistem içi tüm mesajlaşmalar

gibi veriler erişilebilir durumdaydı.

64 MİLYON KİŞİLİK DEV SIZINTI

Araştırmacıların açıklamasına göre, bu açık dünya çapında 64 milyondan fazla McDonald’s başvurusunu etkiledi. Sızdırılan verilerin, kullanıcılar adına sisteme erişim sağlanabilecek seviyede olduğu belirtiliyor.

PARADOX.AI: AÇIK KAPATILDI, İNCELEME BAŞLATILDI

Durumu fark eden araştırmacılar, Paradox.ai şirketi ile iletişime geçmeye çalıştı. Ancak firmanın resmi güvenlik sayfasında herhangi bir açık bildirim kanalı bulunmuyordu. Ekip, rastgele e-posta adreslerine ulaşmaya çalışarak durumu duyurdu. Sonunda doğru kişilere ulaşıldığında Paradox.ai yetkilileri harekete geçerek açığın kapatıldığını ve sistemde geniş çaplı bir inceleme başlattıklarını duyurdu.