McDonalds Veri Güvenliği Krizi

Temmuz 2025’te McDonald’s işe alım sisteminde büyük bir güvenlik açığı ortaya çıktı. Yapay zekâ tabanlı McHire platformunun, basit bir şifreyle korunması sonucu milyonlarca aday verisinin tehlikeye girmesi, siber güvenlikte temel ihlallerin ne kadar kritik sonuçlar doğurabileceğini bir kez daha gözler önüne serdi. Kurumsal sistemlerin güvenliği, zayıf parola kullanımı gibi ihmallerle büyük risk altına girebiliyor.

McDonalds Veri Güvenliği Krizi

Temmuz 2025’te, güvenlik araştırmacıları McDonald’s’ın işe alım süreçlerinde kullandığı ya-pay zekâ tabanlı sistemde ciddi bir güvenlik açığı olduğunu ortaya çıkardı. Bu sistem, Paradox.ai firmasının geliştirdiği ve “Olivia” adlı bir sohbet botuyla çalışan McHire platformuydu. Sistemin yönetici paneline “123456” kullanıcı adı ve şifresiyle kolayca erişilebildiği ve bunun sonucunda yaklaşık 64 milyon başvuru verisinin ifşa edilebilecek durumda olduğu tespit edildi.

Nasıl Yapıldı?

Sistem açığı, oldukça basit ve bilinen bir yöntemle tespit edildi: Yaygın kullanılan zayıf parola ve kullanıcı adı kombinasyonlarının denenmesi. Güvenlik araştırmacıları, “admin/admin” gibi bilindik giriş bilgilerini test ederken, “123456” gibi basit ve sık kullanılan bir şifrenin hem kullanıcı adı hem de şifre olarak kullanıldığını keşfetti. Bu bilgilerle, doğrudan McHire yönetici paneline erişim sağlandı.

Panel üzerinden şu işlemler yapılabiliyordu:

  • Kullanıcı arama ve listeleme,
  • Aday profillerini görüntüleme,
  • Sohbet geçmişlerine ulaşma,
  • Başvurulara dair token ve doğrulama bilgilerini çekme.

Üstelik erişim kontrolü çok zayıftı. Panel erişiminden sonra, API çağrıları aracılığıyla başvuru ID’leri ardışık şekilde artırılarak farklı başvuru sahiplerinin bilgilerine ulaşılabildi.

Sistemde herhangi bir hız limiti, çoklu başarısız giriş sonrası kilitlenme, IP filtreleme ya da loglama gibi temel koruma mekanizmalarının bulunmaması, bu açığın tespitini ve suistimalini oldukça kolaylaştırdı.

Başarılı Bir Saldırı Sonucunda Neler Gerçekleşebilir?

Bu denli geniş çaplı bir veri sızıntısı, hem bireyleri hem de şirketi ciddi risklerle karşı karşıya bırakır:

  • Kişisel verilerin ifşası: Adayların isim, soyisim, e-posta adresi, cep telefonu gibi bilgileri kötü niyetli kişilerin eline geçebilir.
  • Hedefli kimlik avı saldırıları: Elde edilen bilgilerle adaylara McDonald’s adına gönderilmiş gibi görünen sahte e-postalar ya da mesajlarla sosyal mühendislik saldırıları yapılabilir.
  • Veri yeniden kullanım saldırıları: Kullanıcıların aynı bilgileri başka platformlarda da kullanmaları halinde zincirleme ihlaller yaşanabilir.

Nasıl Önlenir?

Bu tür olaylar, çoğunlukla temel siber hijyen önlemlerinin alınmaması sonucu gerçekleşir. Aşağıdaki önlemler, bu tür saldırıların önüne geçilmesini sağlayabilir:

Şifre Güvenliği:

  • Yaygın ve basit parolaların kullanımı engellenmeli. Sistem, güçlü parola politikala-rını zorunlu kılmalı (en az 12 karakter, büyük harf, küçük harf, rakam ve özel karakter içeren).
  • Varsayılan şifreler ilk kullanımda değiştirilmeden sistem yayına alınmamalı.
  • Tüm yönetici panelleri ve kritik hesaplar için çok faktörlü kimlik doğrulama (MFA) zorunlu hale getirilmeli.

Sistem Sertleştirme:

  • Yönetici panellerine yönelik IP kısıtlaması, coğrafi erişim kontrolleri ve zaman bazlı erişim sınırlandırmaları uygulanmalı.
  • API erişimleri için rate limiting ve yetki seviyelerine göre sınırlandırma sağlanmalı.
  • ID enumeration gibi saldırılara karşı veri erişimi için tokenizasyon, rastgeleleştirme ya da sorgu sınırlandırmaları kullanılmalı.