McDonald’s’ın AI tabanlı işe alım sisteminden büyük veri sızıntısı

McDonald’s’ın yapay zeka destekli işe alım sürecinde kullanılan sanal asistan Olivia, milyonlarca başvuru sahibinin kişisel verilerini tehlikeye atan ciddi bir güvenlik açığıyla gündeme geldi. Paradox.ai platformu üzerinde çalışan sistem, 64 milyondan fazla başvurunun isim, adres, e-posta, telefon numarası ve başvuru geçmişi gibi bilgilerini sızdırdı.

İnsan kaynakları süreçlerinde yapay zeka entegrasyonu giderek yaygınlaşırken, bu olay teknolojinin güvenlik boyutunu sorgulatıyor. McDonald’s tarafından kullanılan Olivia sohbet robotu, adaylara yakınlarındaki açık pozisyonları gösteriyor, başvuru sürecinde yönlendirme yapıyor ve daha insansı bir deneyim sunmak için bir çalışan fotoğrafı bile gösteriyordu. Ancak bu kullanıcı dostu yüzeyin altında, siber güvenlik açısından ciddi açıklar barındırıyordu.

Güvenlik araştırmacıları Ian Carroll ve Sam Curry, sistemin arka planına yalnızca “123456” gibi basit bir kullanıcı adı ve parola kombinasyonuyla erişmeyi başardı. Bu sayede sadece demo sürüme değil, milyonlarca başvuru sahibinin tüm kişisel bilgilerine ulaşabilecekleri tam erişim yetkisine sahip oldular.

Carroll, blogunda süreci ayrıntılarıyla anlattı. Test ortamında bir restoran yöneticisi rolüne eriştiklerini ve sistemin iç yapısını detaylı şekilde incelediklerini belirtti. Bu incelemelerde başvurulara ait numaraların sıralı biçimde sistemde açıkça erişilebilir olduğu ortaya çıktı -bu durum, sistemsel güvenliğin ne kadar zayıf olduğunu gözler önüne serdi.

Araştırmacılar açığı fark ettikten sonra Paradox yetkililerine durumu bildirdiklerini ancak resmi bir güvenlik bildirim kanalına ulaşmakta zorluk çektiklerini aktardı. Sonrasında güvenlik açığı kapatıldı ve zayıf şifre güncellendi. Ancak bu olay, yapay zekâ sistemlerinin kurumsal altyapılara entegre edilirken nasıl ciddi riskler taşıyabileceğini ve ne denli dikkatli olunması gerektiğini bir kez daha ortaya koydu.

Kaynak: DonanımHaber