McDonald’s’ın dünya çapında kullandığı işe alım platformu McHire’da şoke eden bir güvenlik açığı tespit edildi. Araştırmacılar, yönetici paneline yalnızca “123456” şifresiyle giriş yapılabildiğini ve bu açıklığın 64 milyondan fazla başvuru sahibinin bilgilerini tehlikeye attığını ortaya çıkardı.
Paradox.ai tarafından geliştirilen ve restoranların işe alım süreçlerinde başvuru toplamak için kullandığı sohbet tabanlı yapay zeka asistanı Olivia üzerinden çalışan McHire, kullanıcıların ad-soyad, iletişim bilgileri, adres, vardiya tercihleri ve kişilik testi gibi detaylı bilgilerini kaydediyor. Ancak bu bilgiler, hiçbir kimlik doğrulama süreci olmadan herkesin erişebileceği hale geldi.
Araştırmayı yürüten ekip, McHire yönetici panelinde yer alan “Paradox team members” bağlantısı üzerinden yalnızca birkaç denemeyle giriş yapabildi. “123456” gibi basit bir şifrenin sisteme erişim sağladığı görüldü. Güvenlik açığı bununla da sınırlı kalmadı. Sistemde bulunan ve “lead_id” ile çalışan bir API’nin, herhangi bir doğrulama olmadan başvuru sahiplerinin tüm bilgilerine erişim sağladığı tespit edildi.
