Dünyanın en ünlü fast food zincirlerinden McDonalds’ın iş başvuru platformu McHire’da ciddi bir güvenlik sorunları tespit edildi. McDonalds iş başvuru süreci, Paradox.ai adlı şirketin geliştirdiği Olivia adlı yapay zeka botunun kullanımını içeriyor.
İş başvurusunda bulunacak olan kişiler, bu botla iletişime geçerek e-posta, telefon numarası ve çalışabilecekleri vardiyaları belirtiyor ve bir kişilik testini tamamlayarak değerlendirme sürecine alınıyorlar. Ancak sistem üzerinde yapılan araştırma sonucu iki büyük güvenlik sorunu belirlendi.
Ian Carroll tarafından yayınlanan yazıya göre McHire yönetim sistemi varsayılan olarak 123456:123456 kimlik bilgilerini kabul ediyordu. Bununla birlikte bir de IDOR (Insecure Direct Object Reference) açığı vardı. Bu açık yüzünden kullanıcılar başka kullanıcılara ait iletişim bilgileri ve sohbet geçmişine erişebiliyordu.
Bu güvenlik açıkları, McHire hesabı olan ve herhangi bir mesaja erişimi olan herkesin 64 milyondan fazla adayın kişisel verilerinin sızdırılma potansiyeli olduğu anlamına geliyor.
McHire Güvenlik Açığı Nasıl Keşfedildi?
Ian Carroll tarafından paylaşılan bilgilere göre ilk olarak McDonald’s’a iş başvurusunda bulunmak üzere McHire ziyaret edildi. Bir sohbet botu olan Olivia ile etkileşime geçilerek başvuru süreci başladı ve ardından Traitify.com aracılığı ile yapılan kişilik testiyle süreç devam etti.
Ekip daha sonra Olivia’yı manipüle etmeye çalıştı ancak sohbet botu sınırlı cevaplar verecek şekilde ayarlandığı için başarılı olmadılar. Ardından McHire sistemine işveren olarak giriş yapabilmelerini sağlayan bir yol keşfettiler: Basit bir 123456 kullanıcı adı ve şifre ile yönetici hesabına erişim sağladılar.
Bu, onlara sistemin nasıl işlediğini keşfetme imkânı sundu. Kendileri adına başvuru oluşup restoran tarafından görüntülenen başvuru sürecini test ettiler. Bu test sırasında API isteğiyle diğer başvuru sahiplerinin kişisel bilgilerine erişebildiklerini fark ettiler.
Bu yöntem, herhangi bir başvuru sahibinin kimlik bilgilerini ve sohbet geçmişini görüntülemeye imkân tanıyordu. Bu ciddi güvenlik açığı keşfedildikten sonra ekip sorunu bildirmek üzere harekete geçti.
Kısa süre içinde Paradox.ai tarafından dönüş yapıldı. Aktarılanlara göre Paradox.ai, aday ve müşteri verilerinin korunmasının en önemli önceliklerinden biri olduğunu belirterek güvenlik açığının kapatıldığını ifade etti.
Yorum Yap