McDonald’s şubelerinin büyük çoğunluğu tarafından kullanılan McHire isimli dijital işe alım platformunda önemli güvenlik açıkları tespit edildi. Paradox.ai tarafından geliştirilen sistem, iş müracaatlarını otomatik olarak alan ve adaylarla sohbet eden Olivia isimli bir bot üzerinden çalışıyor. Adaylardan ferdî bilgileri toplayan bu sistem, zayıf güvenlik tedbirleri nedeniyle milyonlarca kişinin datalarını açıkta bıraktı.
McHire’da değerli bir güvenlik açığı tespit edildi
İlk olarak Reddit’te botun anlamsız karşılıklar verdiğine dair birtakım kullanıcı şikayetleri dikkat çekti. Yapılan kısa periyodik bir güvenlik incelemesiyle sistemin yönetici panelinin “123456” kullanıcı ismi ve şifresiyle erişilebilir olduğu fark edildi.
Giriş yapıldığında, Paradox.ai’ye ilişkin test restoranı ismine oluşturulmuş bir yönetici hesabına tam erişim sağlandı. Bu sayede hem işe alım süreci hem de platformun nasıl çalıştığı detaylı biçimde incelenebildi.
Başvuru sürecinde aday, Olivia isimli bot aracılığıyla e-posta, telefon ve vardiya tercihi üzere bilgileri sisteme giriyor. Akabinde bir kişilik testine yönlendiriliyor. Bu testte “fazla mesai yapmayı sever” üzere tabirlere “benim için geçerli” ya da “geçerli değil” üzere yanıtlar verilmesi isteniyor.
Test tamamlandıktan sonra sistemin ilerlemesi duruyor ve insan onayı bekleniyor. İncelemeyi gerçekleştiren takım, botun yansılarını değiştirmek için birtakım teşebbüslerde bulundu fakat sistem yalnızca evvelden tanımlanmış karşılıkları kabul edecek halde yapılandırılmıştı.
Güvenlik açığının asıl boyutu, müracaat süreci sırasında kullanılan API sorgularında ortaya çıktı. Adaya ilişkin bilgilerin işlendiği bir API davetinde, yalnızca müracaata ilişkin numaranın (lead_id) değiştirilmesiyle sistemdeki öbür adayların müracaatlarına da erişilebildiği görüldü.
Numara manuel olarak azaltıldığında, farklı şahıslara ilişkin ferdî bilgiler direkt API karşılığında görünmeye başladı. Hiçbir kimlik doğrulama düzeneği bulunmayan bu sistem üzerinden, McHire’a yapılan milyonlarca müracaata ulaşmak mümkün hale geldi.
API üzerinden elde edilen bilgiler ortasında isim, e-posta adresi, telefon numarası, adres, adayın doldurduğu tüm formlar, yaptığı tercihlerin kaydı ve müracaatın hangi basamaklardan geçtiği bilgisi yer alıyor.
Ayrıca sistem, adayın kullanıcı arayüzüne giriş yapmasını sağlayan oturum belirteçlerini de direkt paylaşıyordu. Bu, başvuran kişinin sistemdeki geçmiş konuşmalarına ve şahsî kayıtlarına erişim imkanı tanıyordu.
Paradox.ai güvenlik açığını doğruladı, ilgili API erişimlerini kapattı ve başka potansiyel zafiyetlerin tespit edilmesi için sistem genelinde güvenlik taramaları başlattı. Şirket, adayların ve müşterilerin datalarının korunmasının öncelikli olduğunu belirterek güvenlik tedbirlerini sıkılaştırdığını açıkladı.
