McHire’de Bulunan Güvenlik Açığı ve Etkileri
Son dönemde, McDonald’s’ın iş başvuru platformu McHire üzerinde tespit edilen bir güvenlik açığı, 64 milyon iş başvurusunun kişisel verilerinin açığa çıkmasına neden oldu. Bu durum, hem kullanıcıların mahremiyeti açısından hem de büyük şirketlerin veritabanları üzerindeki güvenlik önlemleri açısından ciddi endişeleri beraberinde getiriyor.
Güvenlik Açığının Keşfi
Bu önemli güvenlik açığını keşfeden güvenlik araştırmacıları Ian Carroll ve Sam Curry, McHire’ın yönetici panelinin son derece basit bir test kullanıcı adı ve şifre ile korunduğunu tespit etti. Kullanıcı adı “123456” ve şifre de “123456” şeklinde ayarlandı. Bu ciddiyetsiz güvenlik tedbirleri, sistemin iç işleyişini kolayca ele geçirebilmelerine olanak sağladı.
McHire ve Chatbot Olivia
McHire, McDonald’s franchise sahipleri tarafından kullanılan bir platformdur ve yaklaşık %90’ı bu sistemi tercih ediyor. Platform, Olivia adındaki bir chatbot aracılığıyla başvuru alıyor. İş başvurusu yapmak isteyen kullanıcılar, isim, e-posta adresi, telefon numarası, adres ve uygunluk bilgilerini paylaşmak zorunda. Ayrıca, iş başvurusu sürecinin bir parçası olarak kişilik testini tamamlamaları gerekiyor.
Güvenlik Açığının Teknik Açıdan İncelemesi
Araştırmacılar, sistemin test sürümüne giriş yaptıktan sonra başvuru sürecini incelemek amacıyla bir başvuru gönderdiler. Bu esnada, API uç noktasına gönderilen HTTP isteklerinin /api/lead/cem-xhr adresine yönlendirildiğini ve bu isteğin bir lead_id parametresi kullandığını fark ettiler. Araştırmacılar, lead_id parametresini artırıp azaltarak, diğer başvuru sahiplerine ait tam sohbet transkriptlerini, oturum jetonlarını ve kişisel verileri açığa çıkardılar.
Bu tür bir güvenlik açığı, IDOR (Insecure Direct Object Reference) olarak adlandırılmaktadır. IDOR, bir uygulamanın iç nesne tanımlayıcılarını, yani kayıt numaralarını, kullanıcıların verilere erişim yetkisi olup olmadığını kontrol etmeden açığa çıkarması durumudur.
Güvenlik Açığının Sonuçları
Ian Carroll, bulgularını açıklarken, “Yalnızca birkaç saatlik bir güvenlik incelemesi sırasında iki ciddi sorun tespit ettik: McHire’ın restoran sahipleri için yönetim arayüzünün varsayılan kullanıcı bilgileri olan 123456:123456‘yı kabul etmesi ve API üzerindeki bir insecure direct object reference (IDOR) ile herhangi bir kullanıcıya ait iletişim ve sohbetlerin açığa çıkmasına izin vermesi,” dedi.
Bu sorunlar, McHire hesabına ve herhangi bir gelen kutusuna erişim sağlayan herkesin, 64 milyon başvurunun kişisel verilerine ulaşabilmesine olanak tanımıştır.
Sorunun Bildirilmesi ve Çözüm Süreci
Güvenlik açığı, 30 Haziran 2023 tarihinde Paradox.ai ve McDonald’s‘a bildirildi. McDonald’s, bildirimin ardından yalnızca bir saat içinde durumu kabul etti ve varsayılan yönetici bilgilerini devre dışı bıraktı. “Üçüncü parti bir sağlayıcı olan Paradox.ai’nın bu kabul edilemez güvenlik açığından hayal kırıklığına uğradık. Sorunu öğrendikten hemen sonra Paradox.ai’ya durumu düzeltmeleri talimatını verdik ve bu sorun aynı gün içinde çözüldü,” diye belirtti McDonald’s, yaptığı açıklamada.
Paradox.ai’nın Aldığı Önlemler
Paradox, IDOR açığını gidermek amacıyla bir düzeltme yayımladı ve güvenlik açığının önlendiğini doğruladı. Ayrıca, Paradox.ai, benzer büyük sorunların tekrar meydana gelmemesi için sistemlerini gözden geçirdiklerini bildirdi. Paradox, BleepingComputer’a yaptığı açıklamada, açığa çıkan bilgilere; herhangi bir kişisel bilginin girilmemiş olsa bile bir sohbet etkileşiminin dahil olduğunu belirtti.
Sonuç
Teknoloji ve iletişim yöntemleri hızla gelişse de, güvenlik açısından önemli zaaflar yaşanabiliyor. McHire’deki bu güvenlik açığı, büyük ölçekli işletmelerin veri güvenliği mücadelesinin ne kadar önemli olduğunu bir kez daha gözler önüne serdi. Kullanıcıların kişisel verilerinin korunması için daha sağlam güvenlik önlemlerine ihtiyaç vardır. Şirketlerin kullanıcı verilerini koruma sorumluluğu, sadece kendi sistemleri ile sınırlı kalmamalı; üçüncü parti hizmet sağlayıcıları ile olan ilişkilerinde de bu sorumlulukları göz önünde bulundurarak hareket etmelidirler. Bu tür olaylar, şirketlerin veritabanı güvenliğini artırmak için daha fazla önlem alması gerektiğini açıkça göstermektedir.
