Dünyanın en büyük hızlı servis restoran zincirlerinden Burger King, Popeyes ve Tim Hortons'ı bünyesinde barındıran Restaurant Brands International (RBI), teknoloji dünyasını sarsan bir siber güvenlik skandalıyla gündemde. 'BobDaHacker' ve 'BobTheShoplifter' takma adlarını kullanan iki etik hacker, şirketin siber güvenlik altyapısının 'yağmurda ıslanmış bir Whopper ambalajı kadar sağlam' olduğunu iddia ederek, şaşırtıcı derecede basit yöntemlerle sistemlere nasıl sızdıklarını gözler önüne serdi.
Hackerlar durumu, 'Kızgın bile değiliz, sadece bu kadar kötü güvenlik uygulamalarına olan bağlılıktan etkilendik' sözleriyle özetledi.
Erişilen Veriler 'Felaket' Olarak Tanımlandı
Hacker ikilisi, keşfettikleri zafiyetlerin boyutunun 'felaket' düzeyinde olduğunu belirtti. Sadece birkaç adımla, şirketin küresel imparatorluğundaki neredeyse her sisteme erişebildiklerini iddia ettiler. Bu erişim, sıradan bir veri sızıntısının çok ötesinde sonuçlar doğurma potansiyeline sahipti.
Hackerların Elde Ettiği Yetkiler:
- RBI'ın Amazon Web Services (AWS) sistemlerine kolayca sızma.
- Sistem üzerinde yeni kullanıcı hesapları oluşturma ve bu hesaplara yönetici (admin) yetkisi tanıma.
- Çalışanların kişisel bilgilerine tam erişim.
- Restoranlar için yeni ekipman sipariş etme.
- Sisteme yeni restoranlar ekleme ve mevcutları yönetme.
- Mağazalardaki tablet arayüzlerine erişim sağlama.
- En endişe verici olanı: Arabaya servis (drive-thru) müşterilerinin ses kayıtlarına ulaşma.
Yapay Zeka Eğitimi İçin mi? Müşteri Mahremiyeti Tehlikede
Hackerların en çarpıcı iddiası, arabaya servis sırasında kaydedilen müşteri ses kayıtlarının bir yapay zeka modelini eğitmek için kullanıldığı yönünde oldu. Bu iddia, büyük şirketlerin müşteri verilerini hangi amaçlarla ve ne kadar şeffaf bir şekilde kullandığına dair ciddi soru işaretleri doğuruyor. Müşterilerin, sipariş verirken yaptıkları sıradan konuşmaların bir yapay zeka tarafından analiz ediliyor olabileceğinden habersiz olmaları, kişisel mahremiyetin ihlali tartışmalarını alevlendirdi.
Şirketin Tepkisi: Hızlı Düzeltme, Tartışmalı Susturma
Etik hackerlar, bulgularını detaylandırdıkları bir blog yazısını 6 Eylül'de yayınladı. Ancak yazı, 24 saat içinde RBI tarafından gönderilen bir DMCA (Dijital Binyıl Telif Hakkı Yasası) şikayetiyle yayından kaldırıldı. Bu hamle, teknoloji topluluğunda eleştirilere neden oldu. Birçok uzman, güvenlik açıklarını sorumlu bir şekilde ifşa eden araştırmacılara teşekkür etmek yerine onları yasal yollarla susturmaya çalışmanın, şeffaflık ilkesine aykırı olduğunu ve yanlış bir mesaj verdiğini savundu.
Diğer yandan, hackerlar blog yazılarında RBI'ın açıkları kapatma konusunda 'etkileyici bir hızla' hareket ettiğini de kabul etti. Bu durum, şirketin sorunu ciddiye aldığını ancak halkla ilişkiler ve kriz yönetimi stratejisinde şeffaflık yerine kontrolü tercih ettiğini gösteriyor. Şirket, hackerlarla doğrudan iletişime geçmekten veya bulgular hakkında yorum yapmaktan kaçındı.
Büyük Şirketler İçin Bir Uyarı Zili
Bu olay, milyarlarca dolarlık dev şirketlerin bile temel siber güvenlik uygulamalarında ne kadar zayıf olabileceğini bir kez daha kanıtladı. RBI'ın şansı, bu 'felaket' düzeyindeki açıkların kötü niyetli kişiler yerine, amacı sadece sistemi daha güvenli hale getirmek olan etik hackerlar tarafından bulunmasıydı. Hackerlar, araştırma sırasında hiçbir müşteri verisini saklamadıklarını ve sorumlu ifşa protokollerine uyduklarını belirttiler.
Olay, büyük şirketlerin siber güvenlik yatırımlarının yanı sıra, bu tür durumlarla karşılaştıklarında izleyecekleri iletişim stratejilerini de yeniden gözden geçirmeleri gerektiğini ortaya koyuyor. Güvenlik araştırmacılarını susturmak yerine onlarla iş birliği yapmak, uzun vadede hem marka itibarı hem de müşteri güveni için daha doğru bir yaklaşım olarak öne çıkıyor.
Bu haberde yer alan bilgiler, PCGamer'da yayınlanan orijinal makaleden derlenmiştir.
