McDonald’s Yapay Zeka Sistemindeki Fiyasko: 64 Milyon Adayın Verileri Sızdırıldı!
Üretken yapay zeka (AI) teknolojisinin kurumsal sistemlere entegrasyonu hızlandıkça, bu aceleci yaklaşımın ne kadar tehlikeli güvenlik açıklarına yol açabileceği, şok edici yeni bir olayla bir kez daha kanıtlandı. Fast food devi McDonald’s‘ın, işe alım süreçlerinde kullandığı “Olivia” adlı yapay zeka asistanında, inanılmaz derecede basit bir yöntemle aşılan, devasa bir güvenlik açığı keşfedildi. Bu zafiyet, tam 64 milyon iş başvurusunda bulunan adayın kişisel verilerini korumasız bir şekilde ifşa etti.
Wired tarafından ilk kez raporlanan bu olay, siber güvenlik araştırmacıları Ian Carroll ve Sam Curry tarafından ortaya çıkarıldı ve büyük şirketlerin yapay zeka teknolojilerini ne kadar sorumsuzca kullanabildiğini gözler önüne serdi.
Skandalın Merkezindeki Yapay Zeka: “Olivia”
McDonald’s, işe alım süreçlerini otomatikleştirmek için, Paradox.ai tarafından geliştirilen ve “sanal işe alım asistanı” olarak adlandırılan Olivia adlı bir sohbet botu kullanıyordu. Olivia, iş arayanlara sahte bir insan fotoğrafı ve canlı sohbet arayüzüyle yardımcı oluyor, onları kişilik testleri ve ön eleme sorularından geçiriyordu. Ancak bu sahte insani yüzün hemen altında, korkunç bir güvenlik açığı yatıyordu.
İnanılmaz Güvenlik Zafiyeti: Şifre “123456”
Araştırmacılar Carroll ve Curry, Paradox.ai’nin büyük dil modelinin (LLM) arka ucuna, denemek için akla gelen ilk ve en basit şifre olan “123456” kullanıcı adı ve şifresini kullanarak erişebildiklerini keşfettiler. Bu inanılmaz derecede zayıf şifre, onlara sistemin “test restoranı” bölümüne tam yönetici erişimi sağladı.
Süreci incelemek için test restoranındaki bir iş ilanına başvuran araştırmacılar, kendilerine atanan başvuru numarasının 64,185,742 olduğunu fark ettiler. Merak edip bu sayıyı bir azaltarak (64,185,741) arama yaptıklarında ise, başka bir gerçek iş arayanın tüm kişisel bilgileriyle (tam adı, e-posta adresi, telefon numarası, adresi, çalışma saatleri ve ham sohbet verileri) korumasız bir şekilde karşılaştılar.
Ian Carroll, blog yazısında durumu, “McDonald’s’a iş başvurusunda bulunan her bir kişinin tüm sohbet etkileşimlerine erişebildiğimizi hızla fark ettik,” sözleriyle özetledi.
Sorumsuzluk ve İletişim Zorlukları
Araştırmacılar, bu devasa sızıntının potansiyel etkisini anladıklarında, durumu derhal sorumlu bir şekilde bildirmeye çalıştılar. Ancak bu süreç de kendi içinde bir fiyaskoya dönüştü.
- İletişim Bilgisi Yok: Paradox.ai’nin güvenlik sayfasında, bir güvenlik açığını bildirmek için hiçbir iletişim bilgisi bulunmuyordu. Sayfada sadece, “Güvenlik konusunda endişelenmenize gerek yok!” gibi ironik bir ifade yer alıyordu.
- Rastgele E-postalar: Araştırmacılar, sonunda şirketteki “rastgele kişilere e-posta atmak” zorunda kaldıklarını belirttiler.
Bu olaydan sonra, güvenlik açığının Paradox tarafından yamalandığı ve yönetici şifresinin artık “123456” olmadığı doğrulandı.
McDonald’s ve Paradox.ai’nin yaşadığı bu fiyasko, yapay zeka teknolojilerinin kurumsal sistemlere ne kadar aceleci ve sorumsuz bir şekilde entegre edildiğinin kristal netliğinde bir göstergesidir. Temel güvenlik önlemlerinin bile alınmadığı bu tür sistemler, milyonlarca insanın en hassas kişisel verilerini siber suçlular için açık bir hedef haline getiriyor.
Sizce şirketler, yeni teknolojileri benimserken güvenlik ve gizliliği yeterince önemsiyor mu? Bir yapay zeka asistanıyla kişisel bilgilerinizi paylaşırken kendinizi ne kadar güvende hissediyorsunuz? Düşüncelerinizi yorumlarda bizimle paylaşın!
Yapay zeka ve siber güvenlik alanındaki en son skandallar ve alınması gereken önlemler hakkında daha fazla bilgi için techneiro.com‘u takip etmeye devam edin!
