McDonald’s tarafından iş başvurularında kullanılan yapay zeka sistemi, “123456” üzerinden 64 milyon kişinin kişisel verilerini riske attı.
Güvenlik araştırmacıları Ian Carroll ve Sam Curry, McDonald’s şirketi tarafından ABD’de kullanılan platforma iş başvurusunda bulunan 64 milyon kişinin kişisel bilgilerine, şirketin McHire adı verilen yapay zeka destekli sohbet botuna “123456” kullanıcı adı ve şifresiyle giriş yaparak erişim sağlamayı başardı. Paradox.ai tarafından geliştirilen McHire’da basit bir API açığı da keşfeden araştırmacılar, sohbet botuyla yapılan eski görüşmelere ulaşmış ve bu sayede kişilerin isim, e-posta adresi, ev adresi ve telefon numaralarını görüntülemiş. 2025 yılında hâlâ “123456” üzerinden güvenlik sıkıntıları yaşanması inanılmaz görünürken, konuyla ilgili olarak yaptığı açıklamada Paradox.ai, bulunan açıkların güvenlik araştırmacıları tarafından bildirildikten birkaç saat sonra kapatıldığını söyledi. İş başvurusunda bulunan kişilere ait verilerin geniş çaplı olarak sızdırılmadığını iddia eden şirket, verilerin herkesin görebileceği şekilde açık hale getirilmediğini de aktardı.
Dün Türkiye’yi de kapsayan Louis Vuitton merkezli veri sızıntısı dikkat çekmişti. Lüks çantalarıyla tanınan şirketin veri sızıntı hakkında KVKK tarafından yapılan resmi açıklamada şunlara yer verildi: “Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz Louis Vuitton Çantacılık Ticaret Anonim Şirketi tarafından Kurula iletilen veri ihlal bildiriminde özetle; İhlalin 7 Haziran 2025 tarihinde başladığı ve 2 Temmuz 2025 tarihinde tespit edildiği, müşterilere ait kişisel verileri içeren veritabanına yetkisiz erişim sağlanması ile ihlalin gerçekleştiği; üçüncü taraf bir hizmet sağlayıcının yöneticisi tarafından kullanılan bir servis hesabının ele geçirildiğinin belirlendiği, ihlalden etkilenen ilgili kişi grubunun müşteri/potansiyel müşteriler olduğu, ihlalden etkilenen kişisel veri kategorilerinin kimlik ve iletişim verileri olduğu, incelemelerin devam ettiği, ihlalden Türkiye’de yerleşik 142.995 kişinin etkilendiği bilgilerine yer verilmiştir. Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 10.07.2025 tarih ve 2025/1246 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir. Kamuoyuna saygıyla duyurulur.”