McDonald’s’ın işe alım sistemi McHire’da tespit edilen açık, 64 milyon başvuru sahibinin verilerini sızdırdı. Yapılan araştırmada sistemlere 123456 şifresiyle giriş yapılabildiği keşfedildi.

McDonald’s franchise’lerinin %90’ı tarafından kullanılan işe alım sistemi McHire’da büyük bir güvenlik açığı keşfedildi. Paylaşılan bilgilere göre sadece ve sadece “123456” şifresiyle erişilebilen yönetici paneli, milyonlarca başvuru sahibinin kişisel verilerinin açığa çıkmasına neden oldu.

Bilmeyenler için; McHire, McDonald’s restoranlarının yeni çalışanları işe alırken kullandığı sohbet tabanlı bir platform. Sistem, Paradox.ai tarafından geliştirilen ve “Olivia” adını taşıyan bir yapay zeka asistanı üzerinden başvuruları topluyor, kullanıcıların iletişim bilgilerini, vardiya tercihini ve kişilik testi sonuçlarını kayıt altına alıyor.

Herkese açık yönetici paneli: “123456” ile önüne gelen girebiliyor

Araştırmacılar, McHire yönetici giriş panelinde yer alan “Paradox team members” bağlantısı üzerinden gerçekleştirdikleri sadece birkaç deneme ile panele ulaşabildi. Kullanıcı adı ve şifreye 123456 gibi yaygın bir kombinasyon yazıldığında sistem anında oturum açtı.

Bu sayede restoranların yönetici hesaplarına erişildi ve sistemin nasıl çalıştığı gözlemlendi. Ancak esas problem burada başlamadı. Sistemdeki asıl güvenlik açığı, “lead_id” adı verilen bir numara ile çalışan bir API  oldu. Geliştiricilerin iç testlerde kullandığı bu API, herhangi bir kimlik doğrulama veya erişim kontrolü olmadan kullanıcı verilerini erişime açıyordu.

Bu yöntem ile geçmişte McDonald’s’a başvurmuş rastgele kişilerin isim, adres, telefon, e-posta ve vardiya tercihi gibi bilgilerine ulaşılabiliyordu. Bitmedi! Her kullanıcıya özel atanan doğrulama token’ları da sızdırıldı. Bu token’lar, kullanıcı adına sisteme giriş yapmaya imkân veriyordu.

Bu açık üzerinden erişilebilen bilgiler arasında şunlar yer alıyor:

• Ad, soyad, telefon numarası, e-posta, açık adres
• Başvuru sürecindeki adımlar ve kişilik testi cevapları
• Kullanıcıya özel doğrulama token’ları (chat geçmişi dahil)
• Tüm sistem mesajlaşmaları

Veri sızıntısı, dünya çapında 64 milyondan fazla McDonald’s başvurusunu kapsıyor.

Araştırmacılar durumu fark ettikten sonra derhal Paradox.ai ile iletişime geçti. Ancak şirketin güvenlik sayfasında herhangi bir açık bildirimi yapılabilecek kanal bulunmuyordu. Ekip, rastgele e-posta adreslerine ulaşmaya çalışarak durumu duyurdu. Nihayet doğru kişilere ulaşıldığında, Paradox.ai temsilcileri hızlıca devreye girerek açığı kapattıklarını ve sistemde geniş çaplı bir inceleme başlattıklarını bildirdi.