McDonald’s’ın işe alım sistemi McHire’da tespit edilen açık, 64 milyon müracaat sahibinin datalarını sızdırdı. Yapılan araştırmada sistemlere 123456 şifresiyle giriş yapılabildiği keşfedildi.

McDonald’s franchise’lerinin %90’ı tarafından kullanılan işe alım sistemi McHire’da büyük bir güvenlik açığı keşfedildi. Paylaşılan bilgilere nazaran yalnızca ve yalnızca “123456” şifresiyle erişilebilen yönetici paneli, milyonlarca müracaat sahibinin ferdî datalarının açığa çıkmasına neden oldu.

Bilmeyenler için; McHire, McDonald’s restoranlarının yeni çalışanları işe alırken kullandığı sohbet tabanlı bir platform. Sistem, Paradox.ai tarafından geliştirilen ve “Olivia” ismini taşıyan bir yapay zeka asistanı üzerinden müracaatları topluyor, kullanıcıların irtibat bilgilerini, vardiya tercihini ve kişilik testi sonuçlarını kayıt altına alıyor.

Herkese açık yönetici paneli: “123456” ile önüne gelen girebiliyor

Araştırmacılar, McHire yönetici giriş panelinde yer alan “Paradox team members” teması üzerinden gerçekleştirdikleri sadece birkaç deneme ile panele ulaşabildi. Kullanıcı ismi ve şifreye 123456 gibi yaygın bir kombinasyon yazıldığında sistem anında oturum açtı.

Bu sayede restoranların yönetici hesaplarına erişildi ve sistemin nasıl çalıştığı gözlemlendi. Lakin temel sorun burada başlamadı. Sistemdeki asıl güvenlik açığı, “lead_id” ismi verilen bir numara ile çalışan bir API  oldu. Geliştiricilerin iç testlerde kullandığı bu API, rastgele bir kimlik doğrulama yahut erişim denetimi olmadan kullanıcı datalarını erişime açıyordu.

Bu usul ile geçmişte McDonald’s’a başvurmuş rastgele şahısların isim, adres, telefon, e-posta ve vardiya tercihi üzere bilgilerine ulaşılabiliyordu. Bitmedi! Her kullanıcıya özel atanan doğrulama token’ları da sızdırıldı. Bu token’lar, kullanıcı ismine sisteme giriş yapmaya imkân veriyordu.

Bu açık üzerinden erişilebilen bilgiler ortasında şunlar yer alıyor:

  • Ad, soyad, telefon numarası, e-posta, açık adres
  • Başvuru sürecindeki adımlar ve kişilik testi cevapları
  • Kullanıcıya özel doğrulama token’ları (chat geçmişi dahil)
  • Tüm sistem mesajlaşmaları

Veri sızıntısı, dünya çapında 64 milyondan fazla McDonald’s başvurusunu kapsıyor.

Araştırmacılar durumu fark ettikten sonra derhal Paradox.ai ile irtibata geçti. Lakin şirketin güvenlik sayfasında rastgele bir açık bildirimi yapılabilecek kanal bulunmuyordu. Takım, rastgele e-posta adreslerine ulaşmaya çalışarak durumu duyurdu. Nihayet gerçek bireylere ulaşıldığında, Paradox.ai temsilcileri süratlice devreye girerek açığı kapattıklarını ve sistemde geniş çaplı bir inceleme başlattıklarını bildirdi.

What is your reaction?

0
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
Önceki Haber

Cevap bırakın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bunları da okumak isteyebilirsiniz