McDonald’s ABD’de işe başvurmak istiyorsanız, muhtemelen önce “Olivia” ile konuşmanız gerekecek. Ancak Olivia bir insan değil; başvuruları tarayan, iletişim bilgilerinizi ve özgeçmişinizi toplayan, kişilik testi yönlendirmesi yapan bir yapay zeka sohbet botu. Ne var ki Olivia’nın yalnızca cevapsız sorularla değil, güvenlik açıklarıyla da gündeme gelmesi uzun sürmedi.
“123456” şifresiyle korunuyordu
Olivia, Paradox.ai adlı bir yazılım şirketi tarafından geliştirilen bir platform üzerinde çalışıyor. Güvenlik araştırmacıları Ian Carroll ve Sam Curry’nin bulgularına göre, bu sistem geçtiğimiz haftaya kadar ciddi güvenlik açıkları barındırıyordu. Paradox’un McHire.com adlı işe alım platformunda bulunan yönetici hesabına, yalnızca “123456” gibi basit bir şifreyle erişilebiliyordu. Bu açık sayesinde, kötü niyetli bir kişi McDonald’s başvuru sahipleriyle yapılmış tüm görüşmelere ulaşabilir, isim, e-posta adresi ve telefon numaraları gibi kişisel verileri görüntüleyebilirdi.
64 milyon kayda erişim sağlandı
Araştırmacılar bu güvenlik açığını tesadüfen keşfetti. Carroll, McDonald’s’ın işe alım sürecinde yapay zekayı devreye sokmasının “distopik” doğasını incelemek isterken başvuru yaptı ve 30 dakika içinde sistemin arka kapılarına ulaşmayı başardı.
Toplamda 64 milyon başvuru kaydının sistemde yer aldığı tahmin ediliyor. Carroll ve Curry yalnızca yedi kaydı incelediklerini, bunlardan beşinin kişisel bilgi içerdiğini belirtti. Ancak basit bir ID numarası değişikliğiyle başkalarının bilgilerine ulaşmanın mümkün olması, sistemin ciddiyetle sorgulanmasına yol açtı.
McDonald’s ve Paradox.ai hatalarını kabul etti
WIRED’ın ulaştığı Paradox.ai yetkilileri, araştırmacıların bulgularını doğrulayan bir blog yazısı paylaştı. Şirket, “123456” şifresine sahip test hesabının 2019’dan beri aktif olmadığını ve silinmesi gerektiğini kabul etti. Paradox.ai ayrıca hatalarını bulanları ödüllendirecekleri bir program (bug bounty) başlatacağını duyurdu. Şirketin hukuk sorumlusu Stephanie King, konuyu “hafife almadıklarını” ve “sorumluluğu üstlendiklerini” belirtti.
McDonald’s ise yaptığı ayrı bir açıklamada Paradox.ai’yi suçladı: “Bu kabul edilemez güvenlik açığı nedeniyle hayal kırıklığına uğradık. Sorunu öğrendiğimiz anda Paradox’tan acil çözüm talep ettik ve aynı gün çözüme kavuşturuldu.”
Phishing tehlikesi ve iş arayanlara yönelik riskler
Carroll ve Curry’ye göre, sızan bilgiler doğrudan finansal veriler içermiyor olabilir. Ancak başvuruların McDonald’s gibi büyük bir markayla ilişkili olması, dolandırıcıların bu bilgileri sahte işe alım e-postaları veya maaş yatırımı bahanesiyle banka bilgisi toplama gibi girişimlerde kullanmalarına imkan tanıyabilirdi.
Ayrıca düşük gelirli işler için yapılan başvuruların ifşası, bazı kişiler için mahremiyetin ihlali anlamına gelebilir. Ancak Carroll, bu durumu küçümsemediğini belirterek şunları söyledi:
“McDonald’s çalışanlarına büyük saygı duyuyorum. Kendim de sık sık giderim.”
Buna da göz atın: Google’a rekabet ihlali nedeniyle 355 milyon TL’lik ceza
