Bu kez de McDonalds: 64 milyon kişinin bilgilerini korsanlara kaptırdı

13 Temmuz 2025

Dünyaca ünlü fast food zinciri McDonald’s, şimdiye kadarki en büyük dijital güvenlik skandallarından biriyle gündemde. McDonald’s’ın işe alım sistemi McHire üzerinden yönetici panellerine yalnızca “123456” gibi basit bir şifreyle erişilebildiği ortaya çıktı. Açık sayesinde dünya genelinde 64 milyondan fazla başvuru sahibinin kişisel verileri sızdırıldı.

Ciddi güvenlik açığı

McDonald’s franchise’lerinin %90’ı tarafından kullanılan McHire, Paradox.ai şirketi tarafından geliştirilen ve yapay zekâ destekli “Olivia” adlı asistan üzerinden başvuruları toplayan bir sistem. Platform; kullanıcıların iletişim bilgilerini, vardiya tercihlerini ve kişilik testi yanıtlarını kaydediyor.

Araştırmacılar, sistemin yönetici paneline yalnızca birkaç deneme ile erişim sağlayabildiklerini aktardı. “Paradox team members” bağlantısı üzerinden ulaşılan panele, kullanıcı adı ve şifre alanına “123456” gibi yaygın bir kombinasyon yazıldığında sistemin doğrudan oturum açtığı keşfedildi.

Tek sorun şifre değildi

Asıl güvenlik zafiyeti ise sistemin arka planındaki “lead_id” üzerinden çalışan bir API’de gizliydi. Geliştiricilerin iç testlerinde kullandığı bu API, herhangi bir kimlik doğrulama mekanizması olmadan kullanıcı verilerini açığa çıkarıyordu. Bu açık sayesinde, geçmişte McDonald’s’a başvurmuş kişilere ait:

Ad, soyad, telefon numarası, e-posta, adres

Başvuru süreci bilgileri ve kişilik testi cevapları

Kullanıcıya özel doğrulama token’ları

Chat geçmişi ve sistem içi tüm mesajlaşmalar

gibi veriler erişilebilir durumdaydı.

Araştırmacıların açıklamasına göre, bu açık dünya çapında 64 milyondan fazla McDonald’s başvurusunu etkiledi. Sızdırılan verilerin, kullanıcılar adına sisteme erişim sağlanabilecek seviyede olduğu belirtiliyor.

‘Açık kapatıldı, inceleme başlatıldı’

Durumu fark eden araştırmacılar, Paradox.ai şirketi ile iletişime geçmeye çalıştı. Ancak firmanın resmi güvenlik sayfasında herhangi bir açık bildirim kanalı bulunmuyordu. Ekip, rastgele e-posta adreslerine ulaşmaya çalışarak durumu duyurdu. Sonunda doğru kişilere ulaşıldığında Paradox.ai yetkilileri harekete geçerek açığın kapatıldığını ve sistemde geniş çaplı bir inceleme başlattıklarını duyurdu.

ÇOK OKUNANLAR

Zeytin Ağacının Gölgesinde Arınmak: Her Sene Yeniden Alavya

88 yıllık sır çözülüyor: Amelia Earhart okyanusta o adaya mı düştü?

CHP’den Anada’da müthiş miting… Özgür Özel’e göre Fahrettin Altun AKP’nin oyları düştü diye gitti

12 şehit verilen mağara operasyonu: ‘Hata tabur, bölük komutanına yıkılamaz’

Wimbledon’da Anisimova ve Swiatek, finalde!

Filenin Sultanları Çekya karşısında ve maç yayını TRT1’de

Elçin Sangu’dan Kıvanç Tatlıtuğ’a ilginç iltifat: Onunla oynamak bir lanet gibi

Beyin ölümü gerçekleşti, organları iki kişiye umut oldu

TMSF ve TİKA Başkanlığına yeni atama

Timur Soykan’ı az kalsın hükümeti eleştirdi diye tutuklayacaklardı