ABD merkezli güvenlik araştırmacıları Ian Carroll ve Sam Curry, McDonald’s’ın adayları tarayan ve mülakat yapan yapay zekâ chatbot’u Olivia’yı işleten Paradox.ai platformunda ciddi güvenlik açıkları keşfetti. Araştırmacılar, en kritik zafiyetin, platformun admin hesap giriş bilgilerinin “admin/123456” gibi basit ve kolay tahmin edilebilir bir şifreyle korunması olduğunu belirtti.
Bu basit güvenlik açığı sayesinde, platformun veritabanında yer alan ve geçmişte Olivia ile yapılmış yaklaşık 64 milyon sohbet kaydına erişim sağlandı. Erişilen veriler arasında başvuru sahibinin adı, e-posta adresi ve telefon numarası gibi temel kişisel bilgiler yer alıyordu.
Paradox.ai yaptığı açıklamada, araştırmacıların yalnızca sınırlı sayıda kayıt (7 adet) çekebildiğini ve bu kayıtların 5’inde kişisel bilgilerin bulunduğunu doğruladı. Ayrıca, zayıf şifrenin 2019 yılından beri kullanılmadığını, ancak sistemde Çok Faktörlü Kimlik Doğrulama (MFA) uygulamasının aktif olmadığını kabul etti. Şirket, bu olayın ardından bir bug bounty (hata ödül) programı başlatacağını duyurdu.
McDonald’s da üçüncü taraf servis sağlayıcı kaynaklı güvenlik açığını kabul etti ve sorunun aynı gün çözüldüğünü bildirdi. Şirket sözcüsü, “Siber güvenliğe ciddi yaklaşıyoruz ve üçüncü taraflardan da sıkı güvenlik standartları talep ediyoruz” ifadelerini kullandı.
Uzmanlar ise bu tür veri sızıntılarının sadece kişisel bilgileri riske atmakla kalmayıp, iş başvurusu yapanları işe alım dolandırıcılığı gibi tehditlere karşı da savunmasız bıraktığını belirtiyor. Örneğin dolandırıcılar, sızdırılan bilgileri kullanarak sahte işe alım e-postaları gönderebilir ve finansal bilgiler talep edebilir.
Bu olay, yapay zekâ tabanlı işe alım sistemlerinin güvenliğinin önemini bir kez daha gözler önüne serdi. İş başvurularında kullanılan teknolojilerin, güçlü şifre politikaları ve çok faktörlü doğrulama gibi yöntemlerle korunması gerektiği vurgulanıyor.
