McDonald’s tarafından iş başvuruları sürecinde kullanılan yapay zeka sistemi, “123456” şifresi aracılığıyla 64 milyon kişinin kişisel verilerini tehlikeye attı.
Güvenlik araştırmacısı Ian Carroll ve Sam Curry, McDonald’s’ın ABD’deki iş başvuru platformuna erişim sağlayarak 64 milyon kişinin kişisel bilgilerine ulaşmayı başardı. Araştırmacılar, şirketin McHire adını verdiği yapay zeka destekli sohbet botuna “123456” kullanıcı adı ve şifresi ile giriş yaparak, burada bir API açığı tespit etti. Bu açığı kullanarak, sohbet botu ile yapılan eski görüşmelere erişim sağladılar ve kişilerin isim, e-posta adresi, ev adresi ve telefon numaralarını görüntülediler. 2025 yılı itibarıyla hâlâ böyle basit bir şifre ile güvenlik sorunlarının yaşanıyor olması dikkat çekici. Paradox.ai ise, güvenlik araştırmacılarının bildirdiği açıkların birkaç saat içinde kapatıldığını belirtti ve iş başvurusu yapan kişilere ait verilerin geniş çapta sızdırılmadığını iddia etti. Şirket, verilerin kamunun erişimine açık hale gelmediğini de açıkladı.
Bu olayın hemen ardından, Türkiye’yi de kapsayan Louis Vuitton merkezli bir veri sızıntısı gündeme geldi. Lüks moda markası, veri sızıntısı hakkında Kişisel Verileri Koruma Kurulu (KVKK) tarafından yapılan resmi açıklamada, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun veri güvenliğine ilişkin yükümlülükler başlıklı 12. maddesinin beşinci fıkrasına atıfta bulunarak, güvenlik ihlalinin bildirilmesi gerektiğini ifade etti. Ayrıca, sızıntının detaylarıyla ilgili bilgiler verildi.
Louis Vuitton Çantacılık Ticaret Anonim Şirketi tarafından Kurula iletilen veri ihlal bildiriminde; ihlalin 7 Haziran 2025 tarihinde başladığı ve 2 Temmuz 2025 tarihinde tespit edildiği, müşterilere ait kişisel verilere erişimin yetkisiz bir şekilde sağlandığı belirtildi. Ele geçirilen bilginin, üçüncü taraf bir hizmet sağlayıcısının yöneticisi tarafından kullanılan bir servis hesabından kaynaklandığı ifade edildi. Bu ihlalin, Türkiye’de 142.995 kişiyi etkilediği bilgisi verildi. Durumla ilgili incelemenin sürdüğü ve KVKK’nın vermiş olduğu 10.07.2025 tarihli karar ile veri ihlal bildirimlerinin internet sitesinde ilan edilmesine karar verildiği açıklandı. Kamuoyuna saygıyla duyurulur.
