Hamburger devi 64 milyon kişinin bilgilerini korsanlara kaptırdı
Hamburger devi 64 milyon kişinin bilgilerini korsanlara kaptırdı
Dünyanın en büyük fast food zincirlerinden biri olan McDonald's'ta, dijital güvenliğe dair akılalmaz bir zafiyet ortaya çıktı. Sadece "123456" gibi basit bir şifreyle erişilebilen yönetici paneli üzerinden, işe alım sistemi McHire'a sızan araştırmacılar, 64 milyon kişinin kişisel verilerinin tehlikede olduğunu duyurdu.
Haber Giriş Tarihi: 13.07.2025 15:51
Haber Güncellenme Tarihi: 13.07.2025 15:52
Kaynak:
Bursada Bugün
Dünyaca ünlü fast food zinciri McDonald's, şimdiye kadarki en büyük dijital güvenlik skandallarından biriyle gündemde. McDonald's'ın işe alım sistemi McHire üzerinden yönetici panellerine yalnızca "123456" gibi basit bir şifreyle erişilebildiği ortaya çıktı. Açık sayesinde dünya genelinde 64 milyondan fazla başvuru sahibinin kişisel verileri sızdırıldı.
MCHIRE SİSTEMİNDE CİDDİ GÜVENLİK AÇIĞI
Sözcü haberine göre, McDonald's franchise'lerinin %90'ı tarafından kullanılan McHire, Paradox.ai şirketi tarafından geliştirilen ve yapay zekâ destekli "Olivia" adlı asistan üzerinden başvuruları toplayan bir sistem. Platform; kullanıcıların iletişim bilgilerini, vardiya tercihlerini ve kişilik testi yanıtlarını kaydediyor.
Araştırmacılar, sistemin yönetici paneline yalnızca birkaç deneme ile erişim sağlayabildiklerini aktardı. "Paradox team members" bağlantısı üzerinden ulaşılan panele, kullanıcı adı ve şifre alanına "123456" gibi yaygın bir kombinasyon yazıldığında sistemin doğrudan oturum açtığı keşfedildi.
TEK SORUN ŞİFRE DEĞİLDİ: KİMLİK DOĞRULAMA BİLE YOKTU
Asıl güvenlik zafiyeti ise sistemin arka planındaki "lead_id" üzerinden çalışan bir API'de gizliydi. Geliştiricilerin iç testlerinde kullandığı bu API, herhangi bir kimlik doğrulama mekanizması olmadan kullanıcı verilerini açığa çıkarıyordu. Bu açık sayesinde, geçmişte McDonald's'a başvurmuş kişilere ait:
Ad, soyad, telefon numarası, e-posta, adres
Başvuru süreci bilgileri ve kişilik testi cevapları
Kullanıcıya özel doğrulama token'ları
Chat geçmişi ve sistem içi tüm mesajlaşmalar
gibi veriler erişilebilir durumdaydı.
64 MİLYON KİŞİLİK DEV SIZINTI
Araştırmacıların açıklamasına göre, bu açık dünya çapında 64 milyondan fazla McDonald's başvurusunu etkiledi. Sızdırılan verilerin, kullanıcılar adına sisteme erişim sağlanabilecek seviyede olduğu belirtiliyor.
PARADOX.AI: AÇIK KAPATILDI, İNCELEME BAŞLATILDI
Durumu fark eden araştırmacılar, Paradox.ai şirketi ile iletişime geçmeye çalıştı. Ancak firmanın resmi güvenlik sayfasında herhangi bir açık bildirim kanalı bulunmuyordu. Ekip, rastgele e-posta adreslerine ulaşmaya çalışarak durumu duyurdu. Sonunda doğru kişilere ulaşıldığında Paradox.ai yetkilileri harekete geçerek açığın kapatıldığını ve sistemde geniş çaplı bir inceleme başlattıklarını duyurdu.
Sizlere daha iyi hizmet sunabilmek adına sitemizde çerez konumlandırmaktayız. Kişisel verileriniz, KVKK ve GDPR
kapsamında toplanıp işlenir. Sitemizi kullanarak, çerezleri kullanmamızı kabul etmiş olacaksınız.
En son gelişmelerden anında haberdar olmak için 'İZİN VER' butonuna tıklayınız.
Hamburger devi 64 milyon kişinin bilgilerini korsanlara kaptırdı
Dünyanın en büyük fast food zincirlerinden biri olan McDonald's'ta, dijital güvenliğe dair akılalmaz bir zafiyet ortaya çıktı. Sadece "123456" gibi basit bir şifreyle erişilebilen yönetici paneli üzerinden, işe alım sistemi McHire'a sızan araştırmacılar, 64 milyon kişinin kişisel verilerinin tehlikede olduğunu duyurdu.
Dünyaca ünlü fast food zinciri McDonald's, şimdiye kadarki en büyük dijital güvenlik skandallarından biriyle gündemde. McDonald's'ın işe alım sistemi McHire üzerinden yönetici panellerine yalnızca "123456" gibi basit bir şifreyle erişilebildiği ortaya çıktı. Açık sayesinde dünya genelinde 64 milyondan fazla başvuru sahibinin kişisel verileri sızdırıldı.
MCHIRE SİSTEMİNDE CİDDİ GÜVENLİK AÇIĞI
Sözcü haberine göre, McDonald's franchise'lerinin %90'ı tarafından kullanılan McHire, Paradox.ai şirketi tarafından geliştirilen ve yapay zekâ destekli "Olivia" adlı asistan üzerinden başvuruları toplayan bir sistem. Platform; kullanıcıların iletişim bilgilerini, vardiya tercihlerini ve kişilik testi yanıtlarını kaydediyor.
Araştırmacılar, sistemin yönetici paneline yalnızca birkaç deneme ile erişim sağlayabildiklerini aktardı. "Paradox team members" bağlantısı üzerinden ulaşılan panele, kullanıcı adı ve şifre alanına "123456" gibi yaygın bir kombinasyon yazıldığında sistemin doğrudan oturum açtığı keşfedildi.
TEK SORUN ŞİFRE DEĞİLDİ: KİMLİK DOĞRULAMA BİLE YOKTU
Asıl güvenlik zafiyeti ise sistemin arka planındaki "lead_id" üzerinden çalışan bir API'de gizliydi. Geliştiricilerin iç testlerinde kullandığı bu API, herhangi bir kimlik doğrulama mekanizması olmadan kullanıcı verilerini açığa çıkarıyordu. Bu açık sayesinde, geçmişte McDonald's'a başvurmuş kişilere ait:
Ad, soyad, telefon numarası, e-posta, adres
Başvuru süreci bilgileri ve kişilik testi cevapları
Kullanıcıya özel doğrulama token'ları
Chat geçmişi ve sistem içi tüm mesajlaşmalar
gibi veriler erişilebilir durumdaydı.
64 MİLYON KİŞİLİK DEV SIZINTI
Araştırmacıların açıklamasına göre, bu açık dünya çapında 64 milyondan fazla McDonald's başvurusunu etkiledi. Sızdırılan verilerin, kullanıcılar adına sisteme erişim sağlanabilecek seviyede olduğu belirtiliyor.
PARADOX.AI: AÇIK KAPATILDI, İNCELEME BAŞLATILDI
Durumu fark eden araştırmacılar, Paradox.ai şirketi ile iletişime geçmeye çalıştı. Ancak firmanın resmi güvenlik sayfasında herhangi bir açık bildirim kanalı bulunmuyordu. Ekip, rastgele e-posta adreslerine ulaşmaya çalışarak durumu duyurdu. Sonunda doğru kişilere ulaşıldığında Paradox.ai yetkilileri harekete geçerek açığın kapatıldığını ve sistemde geniş çaplı bir inceleme başlattıklarını duyurdu.
Kaynak: Bursada Bugün
Parka gitmek için evden ayrılan çocuk her yerde aranıyor
Filistin: İsrail, Filistin topraklarında etnik temizliğe ve saldırıları tırmandırmaya devam ediyor
Kazımcan Karataş: "Barış abim bana geçtiği tüm yolları adım adım söyledi"
Palandöken geçidinde kar ve tipi nedeniyle mahsur kaldılar
AFAD duyurdu: Balıkesir'de 3.7 büyüklüğünde deprem
Otomobil patladı, feci şekilde can verdi
Nevşehir'de 920 Kilo Kabak Çekirdeği Çalan Şüpheliler Tutuklandı
Arda Ünyay: Galatasaray camiasına layık bir oyuncu olacağım
Erol Bulut: Kaliteli ayakları var ve affetmiyorlar
Trump: "Bu saldırıya çok ciddi bir yanıt verilecek"
Bakan Fidan: SDG Suriye'de İsrail'den cesaret alıyor
Yolun karşısına geçmek isterken otomobil çarptı: 1 yaralı
Konya'da otomobil refüje çıktı: 3 yaralı
Muğla'da ticari aracın çarptığı elektrikli bisiklet sürücüsü yaşamını yitirdi
BİR ŞÜPHELİ TUTUKLANDI