McDonald’s franchise’larının %90’ından fazlası, işe alım sürecinde McHire adlı dijital platformu kullanıyor. Bu sistem, Paradox.ai tarafından geliştirilen Olivia adlı bir sohbet botu ile çalışıyor. Olivia, iş başvurusunda bulunan kişilerin iletişim bilgilerini topluyor, çalışma tercihlerini kaydediyor ve kişilik testi gibi aşamaları yönetiyor.

Olivia’nın işleyişini test etmek isteyen araştırmacılar, Reddit’te kullanıcıların yaşadığı sorunlara denk geldikten sonra sistemi mercek altına aldı. Basit görünen bir güvenlik kontrolü sırasında ise oldukça ciddi iki açık ortaya çıktı:

McHire yönetici paneli varsayılan “123456:123456” kullanıcı adı ve şifresiyle giriş yapılmasına izin veriyordu.

Platformun iç API’sinde bulunan bir IDOR (Insecure Direct Object Reference) açığı sayesinde, farklı başvuru sahiplerine ait verilere doğrudan erişilebiliyordu.

Bu iki açık, McHire hesabı olan herkesin 64 milyondan fazla başvuru sahibinin kişisel bilgilerine erişmesine olanak tanıyordu.

Kişilik testinden açığa

Araştırma ekibi, işe alım sürecini deneyimlemek için yerel bir McDonald’s’a başvurdu. McHire’ın kullanıcı dostu arayüzü üzerinden kolayca iş ilanına ulaştılar ve Olivia ile iletişime geçtiler. Bot, e-posta, telefon numarası gibi bilgileri topladıktan sonra adayları kişilik testine yönlendirdi.

Ancak test oldukça yüzeyseldi. Traitify.com üzerinden sunulan bu testte “Ben” veya “Ben Değil” gibi yanıtlardan oluşan sorular bulunuyordu. Sorular, genellikle çalışmaya istekli biri gibi görünmeyi sağlayacak biçimde yanıtlanması gereken türdendi. Bir noktadan sonra Olivia ile sohbet akışı dondu ve başvuru insan kaynağı birimine aktarılmadan durakladı. Bu noktada güvenlik açıklarını araştırmak için sistemin derinliklerine inmeye karar verdiler.

Basit bir denemeyle açılan kapı

Araştırmacılar, McHire yönetici giriş panelinde göze çarpan “Paradox ekip üyeleri” bağlantısına tıkladılar. “123456” kullanıcı adı ve şifresiyle yaptıkları giriş başarılı oldu. Bu sıradan şifre kombinasyonu, onları sistemdeki bir test restoranının yöneticisi konumuna taşıdı. Artık Paradox çalışanlarının aday olarak yer aldığı sahte başvurulara erişebiliyorlardı.

Sistemi daha derinlemesine incelemek için test ilanlarından birine kendileri başvurdular. Böylece başvuru sahibinin verilerine nasıl erişildiğini gözlemleyebildiler. Bu süreçte /api/lead/cem-xhr adlı bir API talebi dikkatlerini çekti. İlgili lead_id parametresi ile başvuranların sohbet içeriklerine ve kişisel bilgilerine ulaşılıyordu. ID numarasını yalnızca bir sayı düşürmek bile başka bir gerçek başvuru sahibinin bilgilerine erişmek için yeterliydi.

Sistemde elde edilen veriler şunları içeriyordu:

  • İsim, adres, telefon numarası, e-posta gibi kişisel bilgiler

  • Adayın başvuru sürecindeki ilerlemesi ve doldurduğu formlar

  • Adayın sistemde oturum açması için kullanılan token’lar

  • Olivia ile yapılan ham sohbet mesajları

Açığın etkisinin büyüklüğünü fark eden ekip, hemen Paradox.ai ve McDonald’s yetkililerine durumu raporladı.

Güvenlik açığı bildirildi ve düzeltildi

Güvenlik açığı 30 Haziran 2025’te Paradox.ai ve McDonald’s’a bildirildi. O günden sonra hızla şu gelişmeler yaşandı:

06/30/2025 6:24PM: McDonald’s bildirim makbuzunu onayladı ve teknik detayları talep etti.

06/30/2025 7:31PM: Varsayılan şifre kombinasyonları erişim için artık geçersiz hale getirildi.

07/01/2025 10:18PM: Paradox.ai, sorunun çözüldüğünü doğruladı ve sistemde detaylı bir inceleme yapılacağını duyurdu.

Paradox.ai yetkilileri, aday ve müşteri verilerinin güvenliğini birincil öncelik olarak gördüklerini belirterek süreci şeffaf biçimde ele aldıklarını bildirdi.