Güvenlik araştırmacıları yakın zamanda, iş için başvuran milyonlarca insanın kişisel bilgilerinin McDonald’s fast food zincirinin hesabı için şifreyi (“123456”) tahmin ettikten sonra ortaya çıktı. Paradox.aibirçok Fortune 500 şirketi tarafından kullanılan yapay zeka tabanlı işe alım sohbet botları yapan bir şirket. Paradox.ai, güvenlik gözetiminin diğer müşterilerini etkilemeyen izole bir olay olduğunu, ancak Vietnam’daki çalışanlarını içeren son güvenlik ihlallerinin daha nüanslı bir hikaye anlattığını söyledi.
Paradox.ai ana sayfasının bir ekran görüntüsü, potansiyel işe alımlarla etkileşime giren AI işe alım chatbot “Olivia”.
Bu ayın başlarında, güvenlik araştırmacıları Ian Carroll Ve Sam Curry McDonald’s’ın web sitesi, franchise sahiplerinin çoğunun iş başvuru sahiplerini taramak için kullandığı McHire.com’daki AI Chatbot platformunun arka ucuna erişmek için buldukları basit yöntemler hakkında yazdı. Wired tarafından ilk bildirildiği gibi, araştırmacılar paradoks tarafından kullanılan zayıf şifrenin başvuru sahiplerinin isimleri, e -posta adresleri ve telefon numaraları da dahil olmak üzere 64 milyon kayıt açtığını keşfettiler.
Paradox.ai, araştırmacıların bulgularını kabul etti, ancak şirketin diğer müşteri örneklerinin etkilenmediğini ve sosyal güvenlik numaraları gibi hassas bilginin ortaya çıkmadığını söyledi.
Şirket, 9 Temmuz blog yazısında, “Kayıtlarımıza dayanarak, bu test hesabına güvenlik araştırmacıları dışında herhangi bir üçüncü taraf tarafından erişilmemiştir” diye yazdı. “2019’dan beri oturum açılmamıştı ve açıkçası, hizmet dışı bırakılmış olmalıyız. Araştırmacılar, tüm sohbet etkileşimlerini (iş uygulamaları değil) içeren sisteme kısaca erişmiş olsa da, yalnızca aday bilgisi olan toplam beş sohbeti izlediler ve indirdikleri.
Bununla birlikte, birden fazla ihlal izleme hizmeti tarafından toplanan çalıntı şifre verilerinin gözden geçirilmesi, Haziran 2025’in sonunda, Vietnam’daki bir paradoks.ai yöneticisinin, cihazlarında çeşitli dahili ve üçüncü taraf çevrimiçi hizmetler için kullanıcı adlarını ve şifreleri çalan kötü amaçlı bir uzlaşma yaşadığını göstermektedir. Sonuçlar güzel değildi.
Paradox.Ai geliştiricisinden gelen şifre verileri, “Nexus stealer”Siber suç forumlarında satılan bir form tutan ve şifre stealer. Nexus gibi stealers tarafından hırpalanan bilgiler, genellikle veri sızıntısı toplayıcı hizmetleri ile kurtarılır ve endekslenir Zeka xParadox.ai geliştiricisinin cihazındaki kötü amaçlı yazılımların yüzlerce çoğunlukla zayıf ve geri dönüştürülmüş şifreleri açtığını bildiren (aynı temel şifreyi ancak sonunda biraz farklı karakterleri kullanarak).
Bu Purloined kimlik bilgileri, bir noktada söz konusu geliştiricinin, paradox.ai’ye giriş yapmak için aynı yedi haneli şifreyi kullandığını gösteriyor. Aramark– Lockheed Martin– LowesVe Pepsi.
Yedi karakterlik şifreler, özellikle tamamen rakamlardan oluşan parolalar, çok sayıda olası şifre kombinasyonunu hızlı bir şekilde arka arkaya deneyebilen “kaba kuvvet” saldırılarına karşı oldukça savunmasızdır. Çok referanslı bir şifre gücü kılavuzuna göre, Kovan SistemleriModern şifre kırma sistemleri az çok yedi numaralı bir şifre anında yapabilir.
Resim: hivesystems.com.
KrebSonsecurity’den gelen sorulara yanıt olarak Paradox.ai, şifre verilerinin yakın zamanda Vietnam merkezli uzun zamandır paradoks geliştiricisinin kişisel cihazında kötü amaçlı bir enfeksiyonla çalındığını doğruladı ve şirketin gerçekleştikten kısa bir süre sonra uzlaşmadan haberdar edildiğini söyledi. Paradoks, maruz kalan şifrelerin azının hala geçerli olduğunu ve bunların çoğunluğunun sadece eski bir bilgisayardan bir şifre yöneticisinin içeriğini taşıdığı için çalışanın kişisel cihazında bulunduğunu savunuyor.
Paradoks ayrıca, 2020’den beri ortakları için çok faktörlü kimlik doğrulama uygulayan tek oturum açma (SSO) kimlik doğrulaması gerektirdiğine dikkat çekti. Yine de, maruz kalan şifrelerin gözden geçirilmesi, Vietnamlı yöneticinin şirketin SSO platformuna – paradoxai.okta.com’a kimlik bilgilerini dahil ettiklerini gösteriyor. Bu hesabın şifresi 202506’da sona erdi – muhtemelen Haziran 2025 ayına bir referans – ve bu kimlik bilgileriyle başarılı bir OKTA girişinden sonra geride kalan dijital çerez, Aralık 2025’e kadar geçerli olduğunu söylüyor.
Ayrıca, bir hesap için yöneticinin kimlik bilgileri ve kimlik doğrulama çerezleri de ortaya çıktı. Atlassianyazılım geliştirme ve proje yönetimi için yapılmış bir platform. Bu kimlik doğrulama jetonu için son kullanma tarihi aynı şekilde Aralık 2025’tir.
Infostealer enfeksiyonları, bugün veri ihlallerinin ve fidye yazılımı saldırılarının önde gelen nedenleri arasındadır ve depolanan şifrelerin çalınmasına ve kurbanın bir tarayıcıya girdiği kimlik bilgilerine neden olur. Çoğu Infostealer kötü amaçlı yazılım, kurbanın cihazında depolanan kimlik doğrulama çerezlerini sifonlayacaktır ve bu jetonların nasıl yapılandırıldığına bağlı olarak, giriş istemlerini ve/veya çok faktörlü kimlik doğrulamayı atlamak için bunları kullanabilir.
Çoğu zaman bu infostealer enfeksiyonları, kurbanın cihazında saldırganların enfekte makineye uzaktan erişmesine izin veren bir arka kapı açacaktır. Gerçekten de, paradoks yöneticisinin tehlikeye atılan cihazına uzaktan erişimin son zamanlarda satışa sunulduğu anlaşılıyor.
Şubat 2019’da Paradox.ai, iki oldukça kapsamlı güvenlik standardı (ISO 27001 ve SOC 2 Tip II) için denetimleri başarıyla tamamladığını duyurdu. Bu arada, şirketin bu ayki güvenlik açıklaması, iğrenç 123456 kullanıcı adı ve şifreli test hesabının 2019’da en son erişildiğini, ancak bir şekilde yıllık penetrasyon testlerinde kaçırdığını söylüyor. Peki bu uygulamalarla bu kadar katı güvenlik denetimlerini geçmeyi nasıl başardı?
Paradox.ai, KrebSonsecurity’ye 2019 denetimi sırasında şirketin çeşitli yüklenicilerinin şirketin dahili olarak uyguladığı güvenlik standartlarına göre tutulmadığını söyledi. Paradoks, bunun değiştiğini ve o zamandan beri güvenlik ve şifre gereksinimlerini birkaç kez güncellediğini vurguladı.
Vietnam’daki paradoks geliştiricinin bilgisayarını kötü amaçlı yazılımlarla nasıl bulaştığı belirsizdir, ancak daha yakın bir inceleme, başka bir paradoks.a çalışanı için bir Windows cihazı bulur. Vietnam’dan 2024’ün sonunda benzer veri çalma kötü amaçlı yazılımlar tarafından tehlikeye atılmıştır (bu uzlaşma mağdurun Github kimliklerini içermektedir). Her iki çalışan durumunda, çalınan kimlik bilgisi verileri, kurbanları tekrar tekrar indirilen korsan filmleri ve televizyon şovlarını gösteren web tarayıcı günlüklerini içerir; bu, genellikle korsan içeriği görüntülemek için gereken bir video kodek olarak gizlenmiş kötü amaçlı yazılımlarla birlikte toplanır.