McDonald’s AI İşe Alma Aracı’ndaki büyük güvenlik kusuru McHire 64 milyon iş başvurusunu açığa çıkardı. Bir idor güvenlik açığının ve zayıf varsayılan kimlik bilgilerinin, kişisel veri sızıntısına ve paradox.ai’nin hızlı iyileştirilmesine nasıl yol açtığını keşfedin.
McDonald’s franchise sahiplerinin büyük bir çoğunluğu tarafından kullanılan AI destekli işe alım platformu olan McHire’da bir güvenlik açığı, 64 milyondan fazla iş başvurusunda bulunmasının kişisel bilgilerini ortaya çıkardı. Güvenlik araştırmacıları tarafından keşfedilen güvenlik açığı Ian Carroll ve Sam Curry, isimler, e -posta adresleri, telefon numaraları ve ev adresleri de dahil olmak üzere hassas verilere yetkisiz erişime izin verdi.
Soruşturma, Reddit’te Olivia adlı ve Paradox.ai tarafından geliştirilen ve garip yanıtlar veren McHire Chatbot hakkında raporlar ortaya çıktıktan sonra başladı. Araştırmacılar hızla iki kritik zayıflık buldular. İlk olarak, McHire’daki restoran sahipleri için yönetim girişi, hem kullanıcı adı hem de şifre için kolayca tahmin edilebilir varsayılan kimlik bilgilerini kabul etti: “123456”. Bu basit giriş, yöneticiye sistem içindeki bir test restoranı hesabına erişim sağladı.
İkinci ve daha ciddi sorun, dahili bir API’da güvensiz bir doğrudan nesne referansı (Idor) idi. Bir idor, bir web adresindeki bir numarayı değiştirerek (bu durumda, başvuru sahibine bağlı bir Lead_id), McHire hesabı olan herkesin diğer başvuru sahiplerinin sohbet etkileşimlerinden gizli bilgilere erişebileceği anlamına gelir.
Blog yayınlarına göre, araştırmacılar bunun maskelenmemiş iletişim bilgileri ve hatta başvuru sahipleri olarak giriş yapmak ve ham sohbet mesajlarını görmek için kullanılabilecek kimlik doğrulama jetonları da dahil olmak üzere milyonlarca iş başvurusunun ayrıntılarını görüntülemelerine izin verdiğini belirtti.
McHire platformu, https://jobs.mchire.com/iş arayanları traitify.com’dan bir kişilik testi de dahil olmak üzere otomatik bir süreç boyunca yönlendirir. Başvuru sahipleri Olivia ile etkileşime girerek iletişim bilgilerini ve vardiya tercihlerini sağlar.
Restoran sahibinin tarafından bir test başvurusu gözlemlerken araştırmacıların savunmasız API’ya tökezlediler. Aday bilgilerini getirme talebini fark ettiler, /api/lead/cem-xhrkullanan lead_id Bu, diğer başvuru sahiplerinin verilerini görüntülemek için değiştirilebilir.
Potansiyel veri maruziyetinin geniş ölçeğini gerçekleştirdikten sonra, araştırmacılar derhal açıklama prosedürleri başlattı. 30 Haziran 2025’te PARADOX.AI ve McDonald’s ile temasa geçtiler.
McDonald’s raporu kısa bir süre sonra ve 30 Haziran 2025’e kadar 19: 31’de ET’de kabul etti, varsayılan idari kimlik bilgileri artık işlevsel değildi. Paradox.ai, sorunların 1 Temmuz 2025’e kadar saat 22: 18’de ET. Her iki şirket de bu kritik kırılganlığın hızlı bir şekilde iyileştirilmesinden sonra veri güvenliğine olan bağlılıklarını belirtmiştir.
Global veri gizlilik yönetim firması Madenler’de kurucu ortak ve CEO Kobi Nissan, “Bu olay, şirketlerin uygun gözetim olmadan müşteriye dönük iş akışlarına AI dağıtmak için acele ettiğinde, kendilerini ve milyonlarca kullanıcıyı gereksiz riske maruz bıraktıklarını hatırlatıyor” dedi.
Kobi, “Buradaki sorun AI’nın kendisi değil, ancak çevresinde temel güvenlik hijyeni ve yönetişim eksikliği. Kişisel verileri toplayan veya işleyen herhangi bir AI sistemi, temel iş sistemleriyle aynı gizlilik, güvenlik ve erişim kontrollerine tabi olmalıdır” diye açıkladı.
“Bu, radarın altında uçan sessiz dağıtımlar değil, daha geniş risk iş akışlarına kimlik doğrulama, denetlenebilirlik ve daha geniş risk iş akışlarına entegrasyon anlamına geliyor. İşletmelerin AI’ye bir yenilik olarak değil, en başından beri hesap verebilirliği sağlayan düzenlenmiş bir varlık ve uygulama çerçeveleri olarak ele alınması gerekiyor” dedi.