McDonald’s şubelerinin büyük çoğunluğu tarafından kullanılan McHire adlı dijital işe alım platformunda ciddi güvenlik açıkları tespit edildi. Paradox.ai tarafından geliştirilen sistem, iş başvurularını otomatik olarak alan ve adaylarla sohbet eden Olivia isimli bir bot üzerinden çalışıyor. Adaylardan kişisel bilgileri toplayan bu sistem, zayıf güvenlik önlemleri nedeniyle milyonlarca kişinin verilerini açıkta bıraktı.
McHire’da önemli bir güvenlik açığı tespit edildi
İlk olarak Reddit’te botun anlamsız cevaplar verdiğine dair bazı kullanıcı şikayetleri dikkat çekti. Yapılan kısa süreli bir güvenlik incelemesiyle sistemin yönetici panelinin “123456” kullanıcı adı ve şifresiyle erişilebilir olduğu fark edildi.
Giriş yapıldığında, Paradox.ai’ye ait test restoranı adına oluşturulmuş bir yönetici hesabına tam erişim sağlandı. Bu sayede hem işe alım süreci hem de platformun nasıl çalıştığı ayrıntılı şekilde incelenebildi.
Başvuru sürecinde aday, Olivia isimli bot aracılığıyla e-posta, telefon ve vardiya tercihi gibi bilgileri sisteme giriyor. Ardından bir kişilik testine yönlendiriliyor. Bu testte “fazla mesai yapmayı sever” gibi ifadelere “benim için geçerli” ya da “geçerli değil” gibi cevaplar verilmesi isteniyor.
Test tamamlandıktan sonra sistemin ilerlemesi duruyor ve insan onayı bekleniyor. İncelemeyi gerçekleştiren ekip, botun tepkilerini değiştirmek için bazı girişimlerde bulundu ancak sistem sadece önceden tanımlanmış cevapları kabul edecek şekilde yapılandırılmıştı.
Güvenlik açığının asıl boyutu, başvuru süreci sırasında kullanılan API sorgularında ortaya çıktı. Adaya ait verilerin işlendiği bir API çağrısında, sadece başvuruya ait numaranın (lead_id) değiştirilmesiyle sistemdeki diğer adayların başvurularına da erişilebildiği görüldü.
Numara manuel olarak azaltıldığında, farklı kişilere ait kişisel bilgiler doğrudan API yanıtında görünmeye başladı. Hiçbir kimlik doğrulama mekanizması bulunmayan bu sistem üzerinden, McHire’a yapılan milyonlarca başvuruya ulaşmak mümkün hale geldi.
API üzerinden elde edilen veriler arasında isim, e-posta adresi, telefon numarası, adres, adayın doldurduğu tüm formlar, yaptığı tercihlerin kaydı ve başvurunun hangi aşamalardan geçtiği bilgisi yer alıyor.
Ayrıca sistem, adayın kullanıcı arayüzüne giriş yapmasını sağlayan oturum belirteçlerini de doğrudan paylaşıyordu. Bu, başvuran kişinin sistemdeki geçmiş konuşmalarına ve kişisel kayıtlarına erişim imkanı tanıyordu.
Paradox.ai güvenlik açığını doğruladı, ilgili API erişimlerini kapattı ve diğer potansiyel zafiyetlerin tespit edilmesi için sistem genelinde güvenlik taramaları başlattı. Şirket, adayların ve müşterilerin verilerinin korunmasının öncelikli olduğunu belirterek güvenlik önlemlerini sıkılaştırdığını açıkladı.
