Hızla dijitalleşen dünyamızda şirketler, operasyonel süreçlerini kolaylaştırmak adına yapay zeka destekli çözümlere yöneliyor. Ancak bu yenilikler, beraberinde ciddi güvenlik risklerini de getirebiliyor. Son olarak, global fast-food devi McDonald's'ın işe alım süreçlerinde kullandığı yapay zeka destekli sohbet botu McHire'da ortaya çıkan güvenlik açıkları, milyonlarca adayın kişisel verilerinin ifşa olmasına neden olabilecek büyük bir skandalı gözler önüne serdi.
Paradox.ai tarafından geliştirilen McHire adlı sohbet botu, yaklaşık 64 milyon kişinin iş başvurusu sırasında kullandığı bir sistem. Güvenlik araştırmacıları, bu sistemde "123456" gibi inanılmaz derecede basit bir şifre kullanıldığını tespit ederek, yönetici paneline erişim sağlamayı başardı. Bu durum, siber güvenlik dünyasında şifre güvenliğinin ne denli kritik olduğunu bir kez daha kanıtladı. Araştırmacılar, bu basit şifreyle sisteme ilk girdiklerinde bir test restoranının yönetici paneline eriştiklerini ve ilk başta büyük bir etki yaratmadıklarını düşündüklerini belirtti.
Ancak asıl tehlike, ikinci bir güvenlik açığıyla ortaya çıktı. McHire API'sindeki "güvenli olmayan doğrudan nesne referansı" (IDOR) olarak bilinen bir zafiyet sayesinde araştırmacılar, McDonald's'a daha önce iş başvurusunda bulunmuş herkesin neredeyse tüm sohbet etkileşimlerine ve kişisel bilgilerine erişim sağladılar. Bu bilgiler arasında şunlar bulunuyordu:
- Ad, soyad, e-posta adresi, telefon numarası ve adres
- Adaylık durumu ve adayın sistem üzerinden gönderdiği her türlü form bilgisi (çalışabileceği vardiyalar gibi)
- Kullanıcının kendi tüketici arayüzüne giriş yapmasını sağlayan kimlik doğrulama belirteci (auth token), bu da ham sohbet mesajları ve diğer bilgilerin sızmasına yol açtı.
Araştırmacılar, Paradox.ai'nin daha önce McDonald's şubelerinin %90'ının McHire'ı işe alım süreçlerinde kullandığıyla övündüğünü de not düştüler. Bu bilgi, sızma riskinin ne kadar geniş bir kitleyi etkileyebileceğini gösteriyor.
Neyse ki, güvenlik araştırmacılarının durumu Paradox.ai'ye bildirmesinin ardından, tespit edilen bu kritik açıkların bir gün içinde giderildiği açıklandı. Yaşanan bu olay, büyük teknoloji şirketlerinin dahi en temel güvenlik önlemlerini göz ardı edebileceğini ve kullanıcı verilerinin korunması konusunda çok daha yüksek standartlarda hareket etmeleri gerektiğini çarpıcı bir şekilde ortaya koydu.
