McDonald’s’ın dünya genelinde kullandığı dijital işe alım platformu McHire’da büyük bir güvenlik skandalı ortaya çıktı. Varsayılan “123456” şifresiyle yönetici paneline erişilebilmesi ve sistemdeki ciddi açıklar, 64 milyondan fazla başvuru sahibinin kişisel bilgilerinin ifşa edilmesine yol açtı. Güvenlik araştırmacılarının ortaya çıkardığı zafiyet, sistemin ne kadar savunmasız olduğunu gözler önüne serdi.
123456 ŞİFRESİYLE YÖNETİCİ PANELİNE GİRİŞ YAPILABİLDİ
Paradox.ai tarafından geliştirilen ve McDonald’s franchise’larının %90’ından fazlası tarafından kullanılan McHire platformunda, kullanıcıların işe alım sürecini yöneten Olivia isimli sohbet botu görev alıyor. Ancak sistemin arka planına bakan araştırmacılar, yönetici paneline “123456:123456” gibi son derece basit bir kombinasyonla erişim sağlandığını keşfetti. Sistem açığı herhangi biri tarafından kolaylıkla kullanılabilecek düzeydeydi ve kişisel verilerin güvenliğini tamamen tehlikeye attı.
MİLYONLARCA BAŞVURU SAHİBİNİN BİLGİLERİ ERİŞİLEBİLİR DURUMDAYDI
Sistemde yer alan IDOR (Insecure Direct Object Reference) açığı sayesinde, sadece bir rakam değiştirilerek farklı başvuru sahiplerine ait verilere ulaşılabiliyordu. Elde edilebilen bilgiler arasında şunlar yer aldı:
- Ad, soyad, telefon, e-posta, adres bilgileri
- Adayın başvuru sürecine dair kayıtları
- Olivia ile yapılan sohbetlerin ham içerikleri
- Oturum açma token’ları ve formlar
Araştırmacılar, sistemdeki bu açığı gerçek bir başvuru simülasyonu yaparak gözlemledi. Sadece test amaçlı yapılan bu işlemde bile adayların mahrem bilgilerine saniyeler içinde ulaşılabildi.
İşe alım sürecinde kullanılan Traitify.com üzerinden sunulan kişilik testinin oldukça basit olduğu ve adayları fazla sorgulamadan yönlendirdiği belirtildi. Ancak asıl problem, bu testin ardından yaşanan teknik aksaklıklar ve Olivia botunun akışı tamamlayamaması oldu. Bu noktadan sonra sistemin derinlerine inmeye karar veren araştırmacılar, çok sayıda veri sızıntısına neden olabilecek güvenlik açıklarını birer birer tespit etti.
AÇIK BİLDİRİLDİ, ŞİFRE KOMBİNASYONLARI KAPATILDI
30 Haziran 2025’te açık, Paradox.ai ve McDonald’s yetkililerine iletildi. Ardından süreç şöyle gelişti:
-McDonald’s bildirim alındığını doğruladı, teknik detaylar talep edildi.
-Varsayılan kullanıcı adı ve şifre kombinasyonlarının erişimi engellendi.
-Paradox.ai, açıkların kapatıldığını ve sistemin gözden geçirileceğini duyurdu.
Paradox.ai, olay sonrası yaptığı açıklamada, kullanıcı verilerinin güvenliğini öncelik olarak gördüklerini ve süreci şeffaf biçimde yönettiklerini belirtti.
DİJİTAL PLATFORMLAR GÜVENLİKTE SINIFTA MI KALIYOR?
Yaşanan olay sadece McDonald's özelinde değil, işe alım süreçlerini dijitale taşıyan tüm kurumlar için bir uyarı niteliğinde. Basit bir şifre ve yetersiz API güvenliği yüzünden milyonlarca başvurunun mahrem bilgileri tehdit altına girdi. Dijitalleşme kadar güvenlik altyapısının da önem taşıdığı bir kez daha kanıtlandı.
