Güvenlik araştırmacıları, gülünç zayıf şifreyi kullanarak tüm veritabanına “123456” kullanarak erişebileceklerini keşfettikten sonra, McDonald’s AI ile çalışan işe alım sistemindeki şok edici bir güvenlik açığı milyonlarca iş başvurusu sahibinin kişisel bilgilerini ortaya çıkardı.
İhlal, McDonald’s’ın ülke çapında franchise sahipleri tarafından kullanılan birincil işe alım platformu McHire.com’u etkiliyor ve burada “Olivia” adlı bir AI chatbot potansiyel çalışanları tarıyor.
Güvenlik araştırmacıları Ian Carroll ve Sam Curry Çarşamba günü yaptığı açıklamada, yapay istihbarat firması Paradox.ai tarafından yürütülmesi sadece 30 dakika süren temel hack teknikleri aracılığıyla yöneticiye erişim kazandıklarını açıkladı.
Büyük veri maruziyeti
Güvenlik açığı, AI işe alımcısı ile başvuru sahiplerinin adlarını, e -posta adreslerini, telefon numaralarını ve tam sohbet geçmişlerini içeren yaklaşık 64 milyon kayıt açtı.
Carroll ve Curry, ortak oturum açma kimlik bilgilerini denedikten sonra sisteme eriştiler, kullanıcı adı ve parola kombinasyonu “123456” paradox.ai’nin arka uç altyapısına derhal giriş yaptı.
Carroll, “Sadece normal bir işe alım sürecine kıyasla oldukça benzersiz bir distopik olduğunu düşündüm. “30 dakika sonra, McDonald’s’ın yıllarca geri dönmesine şimdiye kadar yapılmış olan neredeyse her uygulamaya tam erişimimiz vardı.”
Araştırmacılar, sistemdeki kimlik numaralarını değiştirerek başvuru kayıtlarına göz atmalarına izin veren ikinci bir kritik kusur keşfettiler.
64 milyondan fazla veritabanından rastgele başvuru sahibi kimlikleri test ettiklerinde, hepsi gerçek iş arayanlardan gerçek kişisel bilgileri iade etti.
Paradox.ai, Planlanan bir blog yayınında güvenlik başarısızlığını kabul etti ve Baş Hukuk Müdürü Stephanie King, “Hızlı ve etkili bir şekilde çözülmesine rağmen bu konuyu hafifçe almıyoruz. Buna sahibiz.”
Şirket, yalnızca araştırmacıların tehlikeye atılan hesaba eriştiğini ve gelecekteki güvenlik açıklarını tanımlamak için bir hata ödül programı planlarını açıkladığını doğruladı.
McDonald’s, üçüncü taraf sağlayıcılarıyla hayal kırıklığını dile getirdi ve “paradoks.i’yi hemen düzeltmeye zorladıklarını” belirten ve satıcıları veri koruma standartlarından sorumlu tutma taahhüdünü vurguladı.
Maruz kalan veriler, özellikle hedeflenen kimlik avı saldırıları bağlamında etkilenen başvuru sahipleri için önemli riskler oluşturmaktadır.
Curry, dolandırıcıların McDonald’ın işe alımcılarını taklit etmek ve sahte doğrudan depozito kurulumları için finansal detaylar talep etmek için bilgileri kullanabileceğini belirtti.
Olay, özellikle finansal açıdan savunmasız pozisyonlarda olabilecek iş arayanlardan hassas kişisel verileri ele alırken, yapay zeka destekli işe alım sistemlerinin güvenliği konusunda artan endişeleri vurgulamaktadır.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.