Gıda sektörünün devlerinden McDonald's için geliştirilen McHire isimli işe alım sohbet botunda ciddi güvenlik açıkları tespit edildi. Güvenlik araştırmacıları tarafından ortaya çıkarılan bu zafiyetler, McHire hizmetini kullanarak yerel şubelerine iş başvurusunda bulunan yaklaşık 64 milyon kişinin kişisel bilgilerinin açığa çıkmasına neden olabilirdi.
Ortaya çıkan en şaşırtıcı detaylardan biri, sistemde Paradox ekip üyeleri tarafından McHire'a erişim için kullanılan şifrenin '123456' gibi inanılmaz basit bir dizi olmasıydı. Bilgi güvenliği uzmanlarının yıllardır güçlü şifre kullanımının önemini vurgulamasına rağmen, bu denli zayıf bir parolanın kullanılması büyük bir güvenlik zafiyetine işaret ediyordu.
Araştırmacılar, başlangıçta sistemde bir test restoranının yöneticisi olduklarını fark ettiler. Buradaki çalışanların ise McHire'ın arkasındaki şirket olan Paradox.ai'nin kendi personeli olduğu anlaşıldı. Bu durum, uygulamanın nasıl çalıştığını anlamalarına yardımcı olsa da, henüz gerçek bir veri gizliliği veya bütünlük ihlali gösteremedikleri için rahatsız ediciydi.
Ancak asıl tehlike, ikinci bir güvenlik açığı ile kendini gösterdi. McHire API'sindeki 'Güvenli Olmayan Doğrudan Nesne Referansı' (IDOR) olarak bilinen bir zafiyet sayesinde araştırmacılar, McDonald's'a iş başvurusunda bulunmuş her bir adayın sohbet etkileşimlerinden aşağıdaki bilgilere erişebildiler:
- Ad, e-posta adresi, telefon numarası, adres
- Adaylık durumu ve adayın göndermiş olduğu her türlü form girdisi (çalışabileceği vardiyalar vb.)
- Kullanıcı arayüzüne o kullanıcı olarak giriş yapmak için kullanılan kimlik doğrulama belirteci, bu da ham sohbet mesajlarını ve muhtemelen diğer bilgileri sızdırıyordu.
Paradox, daha önce McDonald's şubelerinin %90'ının işe alım süreçlerinde McHire'ı kullandığını duyurmuştu. Ancak bu güvenlik açığının ortaya çıkmasıyla birlikte, Paradox'un blogunda McDonald's ile ilgili bölümün kaldırıldığı dikkat çekti.
2020'de 200 milyon dolar yatırım alan Paradox ve piyasa değeri 213 milyar doları bulan McDonald's gibi dev şirketlerin, on milyonlarca kişinin verisini bu denli basit bir açıkla riske atması büyük bir çelişki olarak değerlendirildi. Neyse ki, güvenlik açıkları araştırmacıların açıklamalarından bir gün sonra giderildi. Umuyoruz ki ilgili şirketler, bu olayın ardından 'McYüksek' bir güvenlik standardı benimserler.
