McDonald's'ta dev veri sızıntısı: 64 milyon kişinin bilgileri '123456' şifresiyle sızdırıldı
McDonald’s franchise'larının kullandığı işe alım platformu McHire’da keşfedilen ve "123456" gibi basit bir şifreyle erişilebilen bir güvenlik açığı, dünya genelinde 64 milyon başvuru sahibinin kişisel verilerini ifşa etti.
0:00
--:--
Son Güncelleme: 12.07.2025 - 13:37
- McDonald's işe alım sistemi McHire'da, 64 milyon başvuru sahibini etkileyen büyük bir veri sızıntısı yaşandı.
- Güvenlik açığının, yönetici paneline "123456" gibi son derece basit bir şifreyle girilebilmesinden ve korumasız bir API'den kaynaklandığı tespit edildi.
- Sızdırılan veriler arasında başvuru sahiplerinin ad, soyad, telefon, e-posta, adres ve kişilik testi sonuçları gibi kritik bilgiler yer aldı.
- Açığı keşfeden araştırmacıların uyarısı üzerine, geliştirici firma Paradox.ai sorunu gidererek sistemde geniş çaplı bir inceleme başlattı.
Yönetici paneline '123456' şifresiyle girilebiliyormuş
McDonald’s franchise'larının yaklaşık %90'ı tarafından kullanılan işe alım platformu McHire’da ciddi bir güvenlik zafiyeti ortaya çıkarıldı. Paradox.ai firmasının geliştirdiği sohbet tabanlı sistem, yeni çalışan başvurularını "Olivia" adlı bir yapay zeka asistanı aracılığıyla topluyordu.
Araştırmacılar, sistemin yönetici paneline "123456" gibi son derece zayıf bir kullanıcı adı ve şifre kombinasyonuyla giriş yapılabildiğini keşfetti. Bu basit adım, milyonlarca başvuru sahibinin verilerine giden kapıyı aralamış oldu.
Asıl zafiyet korumasız bir API'den kaynaklandı
Araştırmacılar, sistemdeki asıl büyük güvenlik açığının, "lead_id" adı verilen bir numarayla çalışan korumasız bir API olduğunu tespit etti.
Normalde geliştiricilerin iç testler için kullandığı bu API, herhangi bir kimlik doğrulaması veya erişim kontrolü gerektirmiyordu. Bu zafiyet sayesinde, geçmişte McDonald’s’a başvurmuş herhangi bir kişinin verilerine doğrudan ulaşılabiliyordu.
64 milyon kişinin kişisel verileri ifşa oldu
Bu açık üzerinden dünya çapında 64 milyondan fazla başvuru sahibinin kritik bilgileri sızdırıldı. İfşa olan veriler arasında kişilerin adı, soyadı, telefon numarası, e-postası, açık adresi ve başvuru sürecindeki kişilik testi cevapları gibi hassas bilgiler bulunuyordu.
Daha da endişe verici olan ise her kullanıcıya özel atanan doğrulama "token"larının da sızdırılmış olmasıydı. Bu token'lar, kötü niyetli kişilerin başvuru sahipleri adına sisteme giriş yapmasına ve tüm sohbet geçmişlerini görmesine imkân tanıyordu.
Geliştirici firma açığı kapattığını duyurdu
Durumu fark eden araştırmacılar, derhal sistemin geliştiricisi Paradox.ai ile iletişime geçmeye çalıştı. Şirketin güvenlik sayfasında bir iletişim kanalı bulmakta zorlanan ekip, sonunda rastgele e-posta adresleri üzerinden doğru kişilere ulaşmayı başardı.
Uyarının ardından hızla harekete geçen Paradox.ai temsilcileri, güvenlik açığını kapattıklarını ve sistemlerinde geniş çaplı bir inceleme başlattıklarını bildirdi.
Kaynak:
GDH Haber
İLGİLİ HABERLER
McDonald's'ın satışlarında yüzde 1'lik düşüş
Ankara İl Sağlık Müdürlüğü’nden veri sızıntısı iddialarına ilişkin resmi açıklama
Discord'dan veri sızıntısı açıklaması: Kullanıcı verileri çalındı
Bakan Uraloğlu: İstanbullunun 4,7 milyon bilgisi İngiltere'ye sızdırılmıştır
Apple'dan güvenlik açığı bulana 5 milyon dolar ödül
Türk üniversite öğrencisi NASA'daki kritik güvenlik açığını tespit etti
DİĞER HABERLER
Geleceğin iş gücü mü? Çin’de robotlar okulda eğitiliyor
Innovance, Forbes Türkiye Girişim 2026 listesinde zirveye yerleşti
MacBook Neo fiyatı ne kadar? Apple ile MacBook Neo özellikleri nelerdir, ne zaman satışa çıkacak?
Turkcell’in sahte arama modeli dünyaya örnek seçildi
Turkcell ve Samsung’dan dev 5G cihaz hamlesi
Iphone 17 e fiyatı ne kadar, ne zaman satışa çıkacak? Apple ile Iphone 17 e özellikleri nelerdir?
Turkcell ve ULAK’tan 6G için stratejik imza
Turkcell 5G için Kartepe’de düğmeye bastı
Apple İOS 26.3 güncellemesi yayınlandı mı? Apple ile hangi Iphone'lara 26.3 güncellemesi gelecek?
Fransa'da X platformuna dev operasyon: Elon Musk ifadeye çağrıldı
