Yaşam

McDonalds'a iş başvurusu yapan 64 milyon kişinin verileri çalındı

McDonald’s’ta, dijital güvenliğe dair akılalmaz bir zafiyet ortaya çıktı. Sadece “123456” gibi basit bir şifreyle erişilebilen yönetici paneli üzerinden, işe alım sistemi McHire’a sızan araştırmacılar, 64 milyon kişinin kişisel verilerinin tehlikede olduğunu duyurdu.

13.07.2025 - 14:29 Okunma Süresi: 2 Dk

Dünyaca ünlü fast food zinciri McDonald’s, şimdiye kadarki en büyük dijital güvenlik skandallarından biriyle gündemde. McDonald’s’ın işe alım sistemi McHire üzerinden yönetici panellerine yalnızca “123456” gibi basit bir şifreyle erişilebildiği ortaya çıktı. Açık sayesinde dünya genelinde 64 milyondan fazla başvuru sahibinin kişisel verileri sızdırıldı.

McDonald’s franchise’lerinin %90’ı tarafından kullanılan McHire, Paradox.ai şirketi tarafından geliştirilen ve yapay zekâ destekli “Olivia” adlı asistan üzerinden başvuruları toplayan bir sistem. Platform; kullanıcıların iletişim bilgilerini, vardiya tercihlerini ve kişilik testi yanıtlarını kaydediyor.

Araştırmacılar, sistemin yönetici paneline yalnızca birkaç deneme ile erişim sağlayabildiklerini aktardı. “Paradox team members” bağlantısı üzerinden ulaşılan panele, kullanıcı adı ve şifre alanına “123456” gibi yaygın bir kombinasyon yazıldığında sistemin doğrudan oturum açtığı keşfedildi.

Kimlik doğrulama bile yoktu

Asıl güvenlik zafiyeti ise sistemin arka planındaki “lead_id” üzerinden çalışan bir API'de gizliydi. Geliştiricilerin iç testlerinde kullandığı bu API, herhangi bir kimlik doğrulama mekanizması olmadan kullanıcı verilerini açığa çıkarıyordu. Bu açık sayesinde, geçmişte McDonald’s’a başvurmuş kişilere ait:

Ad, soyad, telefon numarası, e-posta, adres

Başvuru süreci bilgileri ve kişilik testi cevapları

Kullanıcıya özel doğrulama token’ları

Chat geçmişi ve sistem içi tüm mesajlaşmalar

Seyfullah Türksoy yazdı! Kazakistan'da etnik çeşitlilik ve halklar asamblesi

İçeriği Görüntüle

gibi veriler erişilebilir durumdaydı.

64 milyon kişinin verileri sızdı

Araştırmacıların açıklamasına göre, bu açık dünya çapında 64 milyondan fazla McDonald’s başvurusunu etkiledi. Sızdırılan verilerin, kullanıcılar adına sisteme erişim sağlanabilecek seviyede olduğu belirtiliyor.

Açık kapatıldı, inceleme başlatıldı

Durumu fark eden araştırmacılar, Paradox.ai şirketi ile iletişime geçmeye çalıştı. Ancak firmanın resmi güvenlik sayfasında herhangi bir açık bildirim kanalı bulunmuyordu. Ekip, rastgele e-posta adreslerine ulaşmaya çalışarak durumu duyurdu. Sonunda doğru kişilere ulaşıldığında Paradox.ai yetkilileri harekete geçerek açığın kapatıldığını ve sistemde geniş çaplı bir inceleme başlattıklarını duyurdu.

McDonalds