McDonald’s işe alım sistemi McHire, önemli bir güvenlik açığıyla gündeme geldi. Paradox.ai tarafından geliştirilen ve dünya genelinde birçok McDonald’s şubesi tarafından kullanılan bu platform, adaylardan topladığı hassas verileri korumakta yetersiz kaldı. Ortaya çıkan API güvenlik zafiyeti, milyonlarca kişinin kişisel bilgilerinin kötü niyetli kişiler tarafından erişilebilir hale gelmesine neden oldu.
McHire’da Güvenlik Zafiyeti Tespit Edildi
İlk uyarı Reddit üzerinden geldi. Kullanıcılar, sistemin otomatik işe alım sürecini yöneten “Olivia” isimli sohbet botunun anlamsız yanıtlar verdiğini bildirdi. Yapılan teknik incelemede, sistemin yönetim paneline yalnızca “123456” kullanıcı adı ve şifresi ile erişilebildiği ortaya çıktı. Bu basit güvenlik ihlali, Paradox.ai tarafından oluşturulmuş bir test restoran hesabına tam erişim sağladı.
Aday Verilerine Erişimde Hiçbir Engelleme Yoktu
McHire platformu, başvuru sürecinde adaylardan e-posta, telefon, vardiya tercihleri gibi kişisel bilgileri topluyor. Daha sonra adaylar bir kişilik testine yönlendiriliyor ve verdikleri yanıtlarla işe uygunlukları değerlendiriliyor. Ancak güvenlik açığının esas kısmı bu süreçte yapılan API çağrılarında ortaya çıktı.
Yapılan testlerde, API üzerinden yalnızca “lead_id” parametresini değiştirerek, başka adaylara ait başvurulara ve bilgilerine kolaylıkla ulaşılabildiği görüldü. Bu çağrılarda kimlik doğrulama yapılmaması, sistemin en büyük güvenlik zaaflarından biri olarak dikkat çekti.
Sızdırılan Veriler Arasında Neler Var?
Erişimi mümkün kılan API sorgularında şu bilgiler doğrudan görülebiliyordu:
Adayın tam adı
E-posta ve telefon numarası
Adres bilgileri
Form yanıtları ve kişilik testi sonuçları
Başvuru sürecinin hangi aşamada olduğu
Oturum belirteçleri ve önceki konuşma geçmişi
Bu detaylar, kötü niyetli kişiler tarafından kolayca kullanılabilir durumda bırakıldı.
Paradox.ai Açıklama Yaptı
Yaşanan olayın ardından Paradox.ai, güvenlik açığını doğruladı ve söz konusu API erişimlerini devre dışı bıraktığını duyurdu. Ayrıca, sistem genelinde güvenlik açıklarını tespit etmek için kapsamlı taramalar başlatıldığını açıkladı. Şirket, kullanıcı verilerinin gizliliğini sağlamak için güvenlik önlemlerini artıracaklarını belirtti.
Kişisel Verilerin Güvenliği Yine Sınanıyor
McDonald’s işe alım platformu McHire, yaşanan bu olayla birlikte güvenlik standartlarının ne kadar önemli olduğunu bir kez daha gözler önüne serdi. Paradox.ai tarafından geliştirilen otomatik işe alım sistemlerinin, milyonlarca kişinin verisini yönetirken çok daha sağlam güvenlik önlemleriyle desteklenmesi gerekiyor.
