Dünyanın önde gelen hızlı servis restoran zincirlerinden McDonald’s’ın işe alım süreçlerini yöneten yapay zekâ destekli chatbot Olivia, büyük bir veri ihlaliyle gündemde. Paradox.ai tarafından geliştirilen ve milyonlarca iş başvurusunu otomatik olarak işleyen Olivia chatbot’unda, kritik güvenlik açığı nedeniyle başvuru yapan 64 milyon kişinin kişisel verileri ifşa oldu.
“123456” ile Yönetici Girişi: Siber Güvenlikte Klasik Hata
Güvenlik araştırmacısı Ian Carroll’ın keşfine göre, chatbot’un yönetici paneline erişimde “123456” gibi son derece zayıf ve tahmin edilebilir bir parola kullanıldı. Carroll, kullanıcı adı ve parola bölümüne bu basit kombinasyonu girerek sistemde tam yönetici erişimi elde etti ve başvuru sahiplerinin ad-soyad, adres, telefon ve e-posta gibi hassas bilgilerine ulaşabildi.
Sızıntı Bildirimi ve Yanıtsızlık Sorunu
Daha da çarpıcı olan, sızıntının Paradox.ai’ye bildirilmesindeki zorluklar oldu. Şirketin belirgin bir siber güvenlik ekibinin olmaması nedeniyle, Carroll’ın birçok çalışanla ayrı ayrı iletişime geçerek durumu anlatması gerekti. Sonunda yönetici hesabı devre dışı bırakıldı, ancak bu süreçte verilerin ciddi anlamda açığa çıktığı anlaşıldı.
AI Tabanlı İşe Alım Platformlarında Güvenlik Alarmı
Olay, özellikle yapay zekâ tabanlı işe alım sistemlerinin barındırdığı güvenlik risklerini ve toplu kişisel veri saklama/işleme altyapılarının ne kadar savunmasız olabileceğini gözler önüne seriyor. Zayıf parola kullanımı, yetkisiz erişim ve acil olay müdahale eksikliği, modern bulut tabanlı insan kaynakları çözümlerinin en kırılgan noktalarından biri olmaya devam ediyor.
Bu tip platformlarda güvenli parola politikaları, iki faktörlü kimlik doğrulama ve profesyonel siber güvenlik ekiplerinin sürekli izleme/kontrol mekanizmaları kritik önem taşıyor. Veri ihlali, McDonald’s ve Paradox.ai gibi büyük şirketlerin veri koruma yükümlülüklerini tekrar gündeme getiriyor.