McHire’de Güvenlik Açığı: McDonald’s’ın İş Başvuru Platformu Tehdit Altında
Gelişen teknoloji, hayatımızın birçok alanında kolaylık sağlasa da bazı durumlarda ciddi güvenlik açıklarına da zemin hazırlayabilir. Özellikle büyük şirketler için güvenlik açıkları, hem itibar kaybına yol açabilir hem de müşteri verilerinin tehlikeye girmesine neden olabilir. Son günlerde, McDonald’s’ın iş başvuru platformu McHire’de yaşanan bir güvenlik açığı bu durumu tekrar gözler önüne serdi.
McHire Nedir?
McHire, McDonald’s’ın iş başvurularını toplamak için kullandığı bir chatbot platformudur. Bu sistem, Paradox.ai tarafından desteklenmektedir ve McDonald’s franchise sahiplerinin çoğu tarafından kullanılmaktadır. McHire, adayların ad, e-posta adresi, telefon numarası gibi kişisel bilgilerini toplamakta ve ayrıca adayların bir kişilik testi yapmasını da istemektedir.
Ancak, bu güvenliğin yeterince sağlanmadığı ortaya çıktı. Güvenlik araştırmacıları Ian Carroll ve Sam Curry, McHire’de ciddi bir güvenlik açığı tespit ettiler.
Açığın Keşfi
Araştırmacılar, McHire’in admin panelinin şifrelerinin kolay tahmin edilebilir olduğunu fark ettiler. Kullanıcı adı “123456” ve şifre “123456” olarak ayarlanmıştı. Bu basit güvenlik önlemleri, kötü niyetli kişilerin sisteme girmesini ve kullanıcı verilerine ulaşmasını kolaylaştırıyordu.
Araştırmacılar, test sürecinde yaptığı başvurunun ardından, sistemin bir API uç noktasına HTTP istekleri gönderdiğini fark ettiler. Bu isteklerde kullanılan lead_id parametresi, yalnızca test kullanıcıları için geçerli olan bir kimlik numarasıydı. Ancak, bu numarayı artırıp azaltarak, gerçek iş başvurularının tüm sohbet kayıtlarını ve kişisel bilgilerini açığa çıkaran bir yöntem geliştirdiler. Bu tür bir güvenlik açığı IDOR (Insecure Direct Object Reference) olarak adlandırılmaktadır ve kullanıcının erişim yetkisi olmadan iç verilerin açığa çıkmasına zemin hazırlar.
Veri İhlali ve Sonuçları
Carroll, McHire’deki sorunları detaylandırdı: “Sadece birkaç saat süren bir hızlı güvenlik incelemesi sonucunda, McHire’in yönetici arayüzünün varsayılan şifrelerini kabul ettiğini ve IDOR açığının aynı arayüzde mevcut olduğunu belirledik. Bu iki sorun, McHire hesabına sahip olan herkesin, yaklaşık 64 milyon adayın kişisel bilgilerine ulaşmasını sağladı.”
Yani, araştırmacılar lead_id parametresini değiştirerek diğer adayların hassas bilgilerine ulaştılar. Bu tür bir açık, hızlı bir şekilde birçok adayın kişisel verilerinin tehlikeye girmesine neden olabilirdi.
McDonald’s ve Paradox.ai’nın Tepkisi
Bu güvenlik açığı, 30 Haziran’da Paradox.ai ve McDonald’s’a bildirildi. McDonald’s, bildirimin ardından bir saat içinde durumu kabul etti ve varsayılan admin şifrelerinin devre dışı bırakılmasını sağladı. Şirket, “Üçüncü taraf sağlayıcı Paradox.ai’dan gelen bu kabul edilemez güvenlik açığından dolayı hayal kırıklığına uğradık. Sorunu öğrenir öğrenmez, Paradox.ai’dan acil bir çözüm talep ettik, ve sorun, bildirildiği gün çözüldü,” dedi.
Paradox.ai, IDOR açığını gidermek adına bir yamanın uygulandığını duyurdu ve açıkların artık etkisiz hale getirildiğini belirtti. Ayrıca, benzer güvenlik sorunlarının tekrar yaşanmaması için sistemlerin gözden geçirileceğini bildirdiler.
Güvenlik Açıklarından Öğrenilenler
McDonald’s ve Paradox.ai, yaşanan bu durumun bir ders niteliğinde olduğuna dikkat çekti. Şirketler, hizmet verdikleri platformların güvenliğini sağlamalı ve kullanıcı verilerini korumalıdır. Günümüzde büyük miktarda verinin toplandığı sistemlerde, sadece kullanıcıların değil, şirketlerin de dikkatli ve sorumlu olmaları son derece önemlidir.
Böyle güvenlik açıkları, yalnızca kullanıcı verilerini değil, aynı zamanda şirketlerin itibarını da zedeleme potansiyeline sahiptir. Dolayısıyla, tedarikçi şirketlerle olan ilişkilerde güvenlik standartlarının yüksek tutulması şarttır.
Sonuç olarak, McHire’de yaşanan bu güvenlik açığı, teknoloji ile birlikte gelen riskleri gözler önüne seriyor. Şirketlerin, kullanıcıların verilerini koruma konusundaki sorumluluklarını yerine getirmeleri, yalnızca iş başvuru süreçleri için değil, genel olarak tüm sistemler için kritik öneme sahiptir.
