Günümüzün en popüler teknolojilerinden yapay zekâ, bu kez büyük bir güvenlik zaafının merkezinde yer aldı. McDonald’s’ın işe alım süreçlerinde kullandığı ve Paradox.ai platformu üzerinde çalışan AI destekli sohbet botu Olivia, siber güvenlik uzmanlarının sıradan bir şifreyle sisteme erişmesi sonucu, 64 milyondan fazla kişinin kişisel verilerinin sızdırılmasına neden oldu.
“123456” Şifresiyle Tüm Sisteme Erişildi
Siber güvenlik uzmanları Ian Carroll ve Sam Curry tarafından keşfedilen açık, neredeyse inanılması güç bir basitlikteydi. Sadece “123456” gibi yaygın ve kolay tahmin edilebilir bir kullanıcı adı-şifre kombinasyonuyla sisteme giriş yapılabildi. Bu sayede sadece demo değil, canlı işe alım veritabanına da erişim sağlandı. Ele geçirilen bilgiler arasında başvuru sahiplerinin isimleri, adresleri, telefon numaraları, e-posta adresleri ve başvuru geçmişleri yer alıyordu.
Sistematik Güvenlik Zaafı Ortaya Çıktı
Uzmanların açıklamalarına göre sistemin test ortamında, bir restoran yöneticisi rolüyle erişim sağlandığında başvuru numaralarının sıralı biçimde listelendiği fark edildi. Bu da yalnızca bir açık değil, aynı zamanda sistemin tasarımında derinlemesine bir güvenlik eksikliği olduğunu gösterdi. Araştırmacı Ian Carroll, yaşananları teknik detaylarıyla birlikte kendi blogunda yayımladı ve Paradox yetkililerine ulaşmanın oldukça zor olduğunu belirtti.
Yüz Milyonluk Veri Risk Altında
Sızdırılan verilerin boyutu ve niteliği, sadece McDonald’s için değil, Paradox.ai teknolojisini kullanan tüm firmalar için ciddi bir güvenlik krizine işaret ediyor. Olivia botu yalnızca McDonald’s tarafından değil, farklı büyük ölçekli şirketler tarafından da kullanılıyor. Bu da veri ihlalinin etkisinin düşündüğümüzden çok daha büyük olabileceği anlamına geliyor.
"AI Sistemlerine Kör Güvenlik Olmaz"
Siber güvenlik uzmanları, yapay zekâ tabanlı çözümlerin yaygınlaşmasıyla birlikte, güvenlik protokollerinin yeniden tanımlanması gerektiğini vurguluyor. En temel güvenlik kurallarından biri olan “karmaşık ve güvenli şifre” ilkesinin bile göz ardı edildiği bu olay, insan hatalarının AI sistemlerinde nasıl zincirleme felaketlere yol açabileceğini gözler önüne serdi.
