McDonald’s, işe alım sürecinin ilk aşamalarını, uygun güvenlik önlemleri olmadan inşa edilmiş gibi görünen bir AI chatbot’a dış kaynak sağlamıştır.
Güvenlik araştırmacıları, bir kullanıcı adı ve “12345 şifresini tahmin ederek McDonald’s’ın iş başvuru sahipleri hakkında kişisel bilgileri çıkarmayı başardılar. Bunu yaparken, araştırmacılar 64 milyon başvuru sahibinin bilgilerine potansiyel olarak erişebilirdi.
Wired’e göre, tüm McDonald’s franchise sahiplerinin% 90’ı başvuru sahiplerinden bilgi almak ve bir kişilik testine göndermek için McHire kullanıyor. Can sıkıcı bir şekilde, McHire chatbot, senaryosunun dışına çıkan soruları anlayamaması veya cevaplayamaması nedeniyle birçok hevesli McDonald’s çalışanının yanında bir diken olmuştur.
Bu, birçok chatbot’un ne yazık ki ortak yönü. Ancak McBeans’ı şimdiye kadar uygulayan herkes hakkında dökmek menüde olmamalıdır.
Araştırmacıların güvenliği test etmek için yaptıkları, kendi başına sahte bir uygulama oluşturmak ve restoran sahipleri için McHire yönetim arayüzüne bir göz atmaktı.
Araştırmacılar chatbot’u enjekte etmeye çalıştığında uygulama prosedürü herhangi bir sonuç vermedi. Saldırganlar, normal sorular veya talimatlar olarak gizlenmiş sinsi mesajları beslemek için hızlı enjeksiyon kullanırlar. Bu mesajlar AI’yı olağan kurallarını görmezden gelmek ve yapmaması gereken şeyleri yapmak için kandırıyor. Ancak, bu taktik burada başarısız oldu çünkü araştırmacılar gerçek bir kişinin normalde görüşme sürecini devralacağı noktada sıkıştı.
Böylece, araştırmacılar dikkatlerini arka ucuna çevirdiler. Restoran sahiplerinin başvuru sahiplerini görüntülemek için giriş yapmak için kullanabileceği bir web sayfası buldular. Şaşırtıcı bir şekilde, McHire sistemi içindeki bir test restoranının yönetici hesabına erişmelerini sağlayan varsayılan kimlik bilgilerini kabul etti.
Daha önce koydukları uygulamaya bakmaya karar verdiklerinde, API’da (Uygulama Programlama Arayüzü) “McDonald’s’ın yıllarca geri dönmesi için yapılan neredeyse her uygulamaya” erişim sağlayan bir kusur fark ettiler.
Bu bilgileri bulmak için 30 dakikayı aldı. Araştırmacılar sadece küçük bir kayıt örneğine eriştiler ve başvuru sahipleriyle iletişim kurarak geçerliliklerini doğruladılar. Bu insanlar, verilerin gerçek ve kapsamlı olduğu iddiasını destekleyerek başvurduklarını doğruladılar.
McHire, Paradox.ai’nin bir ürünüdür. McDonald’s Credit’e göre, kırılganlığı derhal düzeltti ve kalan sömürü yollarını tanımlamak ve kapatmak için daha fazla incelemeye karar verdi. Ayrıca, bu güvenlik açığının siber suçlular tarafından yamalanmadan önce bulunduğuna dair hiçbir belirti yoktur.
Bir veri ihlali sonrasında kendinizi korumak
Bu güvenlik açığının siber suçlular tarafından yamalanmadan önce bulunduğuna dair hiçbir gösterge olmasa da, olabilir. Veri ihlalinin kurbanı varsa veya şüpheliyseniz veya şüphelendiğiniz bazı eylemler vardır.
- Satıcının tavsiyesini kontrol edin. Her ihlal farklıdır, bu nedenle neler olduğunu öğrenmek için satıcıya danışın ve sundukları özel tavsiyeleri takip edin.
- Şifrenizi değiştirin. Çalınan bir şifreyi hırsızlara değiştirerek işe yaramaz hale getirebilirsiniz. Başka bir şey için kullanmadığınız güçlü bir şifre seçin. Daha da iyisi, bir şifre yöneticisinin sizin için birini seçmesine izin verin.
- İki faktörlü kimlik doğrulamayı (2FA) etkinleştirin. Mümkünse, ikinci faktörünüz olarak FIDO2 uyumlu bir donanım anahtarı, dizüstü bilgisayar veya telefon kullanın. Bazı iki faktörlü kimlik doğrulama formları (2FA) bir şifre kadar kolay bir şekilde yinelenebilir. Bir FIDO2 cihazına dayanan 2FA yinelenemez.
- Sahte satıcılara dikkat edin. Hırsızlar, satıcı olarak poz vererek sizinle iletişime geçebilir. Mağdurlarla iletişim kurup duymadıklarını ve farklı bir iletişim kanalı kullanarak sizinle iletişim kuran herkesin kimliğini doğrulamak için satıcı web sitesine bakın.
- Acele etmeyin. Kimlik avı saldırıları genellikle tanıdığınız insanları veya markaları taklit eder ve kaçırılan teslimatlar, hesap süspansiyonları ve güvenlik uyarıları gibi acil dikkat gerektiren temaları kullanır.
- Kart bilgilerinizi saklamamayı düşünün. Sitelerin kart bilgilerinizi sizin için hatırlamasını sağlamak kesinlikle daha uygundur, ancak bu bilgileri web sitelerinde saklamamayı şiddetle tavsiye ederiz.
- Kimlik izleme ayarlayın. Kimlik izleme, kişisel bilgilerinizin yasadışı olarak çevrimiçi işlem gördüğü ve sonra iyileşmenize yardımcı olduğu takdirde sizi uyarır.
Sadece tehditler hakkında rapor vermiyoruz, tüm dijital kimliğinizi korumaya yardımcı oluyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. Kimlik korumasını kullanarak kişisel bilgilerinizi ve ailenizin kişisel bilgilerini koruyun.