ABD merkezli güvenlik araştırmacıları Ian Carroll ve Sam Curry, McDonald’s’ın adayları tarayan ve mülakat yapan Olivia adlı AI chatbot’unu işleten Paradox.ai platformuna birkaç basit zafiyetle erişmeyi başardı.
Araştırmacılara göre, sistemdeki en kritik hata; admin hesap giriş bilgilerinin “admin/123456” gibi zayıf kombinasyonlarla kolayca erişilebilir olmasıydı. Bu sayede platformun veritabanında yer alan, geçmişte Olivia ile yapılan yaklaşık 64 milyon sohbet kaydına ulaşılabildi. Bu veriler; başvuru sahibinin adı, e‑posta adresi, telefon numarası gibi temel bilgileri içeriyordu.
Paradox.ai, hatayı doğruladı ve sadece araştırmacıların sınırlı sayıda (7 kayıt) veri çekebildiğini, 5’inin kişisel bilgi içerdiğini belirtti. Ayrıca, söz konusu zayıf şifrenin 2019’dan beri kullanılmadığını ancak Multi-Factor Authentication’un (MFA) aktif olmadığını itiraf etti. Şirket, yaşanan bu olay sonrası bir bug bounty (hata ödül) programı başlatacağını açıkladı.
McDonald’s da üçüncü taraf servis sağlayıcı nedeniyle oluşan güvenlik açığını kabul etti ve çözümün aynı gün uygulandığını duyurdu. McDonald's sözcüsü, “Siber güvenliğe ciddi yaklaşıyoruz ve üçüncü taraflarla sıkı güvenlik standartları talep ediyoruz” dedi.
Uzmanlar, bu tür bir sızıntının yalnızca kişisel bilgileri riske atmakla kalmayıp, iş başvurusu yapan kişilerin "işe alım dolandırıcılığı" gibi senaryolara karşı hassas olabileceğini vurguladı. Örneğin, dolandırıcılar bu bilgilerle sahte işe alım e‑postaları göndererek finansal bilgi talep edebilir.
