McDonald's-ın işə qəbul sistemində təhlükəsizlik açığı aşkarlandı

Dünyada milyonlarla insanın iş axtarışı üçün istifadə etdiyi McDonald's-ın işə qəbul platforması McHire-də ciddi təhlükəsizlik problemi aşkarlanıb. Paradox.ai şirkətinin hazırladığı və "Olivia" adlı botun idarə etdiyi sistem, namizədlərin şəxsi məlumatlarını toplayır. Ancaq sistemin zəif təhlükəsizlik tədbirləri milyonlarla insanın məlumatlarının yayılmasına səbəb olub.

Reddit-də yayılan şikayətlərdən sonra aparılan araşdırma göstərib ki, sistemin administrator panelinə "123456" istifadəçi adı və şifrəsi ilə daxil olmaq mümkündür. Bu, Paradox.ai şirkətinin test restoranı üçün yaradılmış administrator hesabına tam giriş imkanı verirdi.

Sistem, namizədlərin e-poçt ünvanı, telefon nömrəsi və iş qrafiki üstünlükləri kimi məlumatlarını toplayır və onlardan şəxsiyyət testindən keçmələrini tələb edir. Sistemin API sorğularında aşkarlanan açıq isə daha da təhlükəlidir. Sadəcə ərizə nömrəsini dəyişməklə digər namizədlərin məlumatlarına baxmaq mümkün idi. Bu, milyonlarla ərizəyə heç bir təsdiq mexanizmi olmadan giriş imkanı deməkdir.

Əldə edilən məlumatlar arasında ad, e-poçt ünvanı, telefon nömrəsi, ünvan, doldurulmuş formalar, üstünlüklər və ərizənin gedişi haqqında məlumatlar var idi. Hətta sistem, namizədlərin istifadəçi interfeysinə daxil olmalarına imkan verən sessiya tokenlərini də paylaşır. Paradox.ai açığı təsdiqləyib, müvafiq API girişini bağlayıb və digər potensial zəiflikləri aşkar etmək üçün sistem səviyyəsində təhlükəsizlik yoxlamaları başlayıb.

Şirkət, namizədlərin və müştərilərin məlumatlarının qorunmasının prioritet olduğunu vurğulayıb. Bu hadisə, Azərbaycan daxil olmaqla, dünyada texnologiya şirkətləri üçün bir xəbərdarlıqdır – kiber təhlükəsizlik sistemlərinin gücləndirilməsinin vacibliyini göstərir.