McDonald’s Chatbot Güvenlik Açığı: 64 Milyon Başvurusu Etkiledi
Son günlerde siber güvenlik alanında önemli bir gelişme yaşandı. McHire, McDonald’s’ın iş başvuru platformu olan chatbot’unun ciddi bir güvenlik açığı bulundu. Bu açık, 64 milyonun üzerinde iş başvurusunu etkileyerek kişisel bilgilerin ifşa olmasına yol açtı.
Güvenlik Araştırmacılarının Keşfi
Söz konusu güvenlik açığı, araştırmacılar Ian Carroll ve Sam Curry tarafından keşfedildi. Bu araştırmacılar, McHire’ın admin panelinin zayıf bir güvenlik ile korunmakta olduğunu tespit ettiler. Admin paneline giriş yapmak için kullanılan kullanıcı adı “123456” ve şifre “123456” olarak belirlenmişti. Bu durum, potansiyel saldırganlar için büyük bir fırsat anlamına geliyordu.
McHire, Paradox.ai tarafından güçlendirilen ve McDonald’s franchise’larının yaklaşık %90’ı tarafından kullanılan bir platformdur. Olivia isimli chatbot aracılığıyla başvuru kabul eden McHire, adayların isimlerini, e-posta adreslerini, telefon numaralarını, adreslerini ve uygunluk durumlarını iletmelerini sağlıyor. Başvuru sürecinin bir parçası olarak, adayların bir kişilik testi tamamlamaları da gerekmektedir.
Sistem Testi ve Keşif
Araştırmacılar, test franchise’ına bağlı bir iş başvurusu göndererek sürecin nasıl çalıştığını görmek için sisteme giriş yaptılar. Test sırasında, gönderilen HTTP isteklerinin bir API noktasına yönlendirildiğini fark ettiler. Bu noktada kullanılan lead_id parametresi, araştırmacıların durumunda 64,185,742 olarak belirlenmişti.
Araştırmalar sonucunda, lead_id parametresini artırıp azaltarak önceki başvuranların tam sohbet kayıtlarına, oturum belirteçlerine ve kişisel verilerine erişim sağladılar. Bu tür bir açığa IDOR (Insecure Direct Object Reference) açığı denir. Bu hata, bir uygulamanın iç nesne tanımlayıcılarını, kullanıcıların verilere erişim yetkileri olup olmadığını kontrol etmeden açıkça ifşa etmesi durumunda meydana gelir.
Güvenlik Açığının Ciddiyeti
Araştırmacılar, güvenlik incelemesi sırasında iki ciddi sorun tespit ettiler. Birincisi, McHire yönetim arayüzünün varsayılan şifrelerini kabul etmesi, ikincisi ise IDOR açığının bulunmasıydı. Bu durum, McHire hesabına sahip olan herkesin, yalnızca bir posta kutusu ve basit bir kullanıcı adı ve şifreyle diğer başvuru sahiplerinin kişisel verilerine erişmesine olanak tanıdı.
Carroll, “Yüzeysel bir güvenlik incelemesi sırasında iki ciddi sorun tespit ettik: McHire yönetim arayüzü varsayılan şifreyi kabul etti ve iç API’de bulunan IDOR açığı, istediğimiz herhangi bir iletişim ve sohbet kaydına erişim sağladı.” diye belirtti.
McDonald’s ve Paradox.ai’dan Yanıt
Bu güvenlik açığı, 30 Haziran’da Paradox.ai ve McDonald’s’a rapor edilmiştir. McDonald’s, durumu öğrendikten sonra bir saat içinde raporu kabul etmiş ve varsayılan admin şifrelerini devre dışı bırakmıştır. Şirket, Wired’a verdiği bir ifadede, “Bir üçüncü taraf sağlayıcı olan Paradox.ai tarafından ortaya çıkan bu kabul edilemez zafiyetten dolayı hayal kırıklığına uğradık. Konuyu öğrendiğimiz anda Paradox.ai’den durumu hemen çözmelerini talep ettik ve sorun, bize bildirildiği gün içerisinde çözüldü.” dedi.
Paradox.ai, IDOR açığını kapatmak için bir düzeltme sağladı ve bu açığın giderildiğini doğruladı. Ayrıca, Paradox.ai, benzer büyük sorunların tekrar yaşanmaması için sistemlerini gözden geçirdiğini açıkladı.
Sonuç Olarak Dikkat Edilmesi Gerekenler
Bu olay, siber güvenlik alanında ne kadar dikkatli olunması gerektiğini bir kez daha gözler önüne serdi. Kullanıcı verilerinin güvenliği, her sistemin temel bir parçası olmalıdır. 64 milyondan fazla kişinin verisinin bu kadar basit bir hata yüzünden açığa çıkması, tüm firmaların ve hizmet sağlayıcılarının bu konuda daha fazla dikkat etmeleri gerektiğini gösteriyor.
Gelişen teknolojiyle birlikte, saldırı yöntemleri daha karmaşık hale gelse de, basit hatalar hâlâ büyük tehlikeler yaratabiliyor. Bu tür güvenlik açıkları, kullanıcıların kişisel verilerinin korunması açısından büyük bir risk teşkil etmektedir. Bu nedenle, uygulamaların güvenlik testlerine tabii tutulması ve zayıf noktaların tespit edilip hızlıca kapatılması gerekmektedir.
