Burger King и другие бренды RBI взломаны, безопасность названа ‘прочной, как обертка из бумаги для воппера’

Этичные хакеры обнаружили катастрофические слабости в системах кибербезопасности Burger King, Tim Hortons и Popeyes, что подвергает риску учетные записи сотрудников, записи из окон для заказов на вынос и показывает слабые практики обеспечения безопасности по всему миру.

Этичные хакеры BobDaHacker и BobTheShoplifter утверждают, что они обнаружили «катастрофические» уязвимости в системах, которыми управляет Restaurant Brands International (RBI) — компания, стоящая за такими брендами как Burger King, Tim Hortons и Popeyes.

Мировая сеть быстрого питания работает через общие платформы, которые хакеры определили как обладающие серьезными слабостями в области безопасности, несмотря на то, что они управляют 30 000 местами. Блог BobDaHacker описал меры безопасности как «столь же прочные, как обертка от бургера Whopper под дождем», как отметил Tom’s Hardware (TH), который впервые сообщил об этой истории

Недостатки в области безопасности позволили хакерам получить доступ к учетным записям сотрудников, системам заказов и прослушиванию записанных разговоров через динамик на автозаказе. Этичные хакеры не получили ответа от RBI, после того как они должным образом уведомили компанию о проблемах безопасности, как объяснил TH.

Все три бренда-платформы помощников имели одинаковые уязвимости в области безопасности. TH сообщает, что хакер, получивший доступ к системе, мог изменять учетные записи сотрудников, управлять устройствами и оборудованием магазина, распространять оповещения по местоположениям и выполнять дополнительные действия.

Уязвимости были обнаружены благодаря сочетанию небрежной конфигурации API и интроспекции GraphQL. Хакеры нашли конечную точку регистрации, которая обходила проверку электронной почты, открывая пароли в открытом виде.

«Мы были поражены приверженностью к ужасным практикам безопасности», — написали они, как сообщает TH. Используя мутацию GraphQL под названием createToken, они смогли «повысить нас до статуса администратора на всей платформе».

Другие ошибки в обеспечении безопасности включали жестко закодированные пароли на интерфейсах планшетов магазина и системах заказа оборудования, иногда просто установленные как ‘admin’.

TH сообщает, что хакерам удалось получить доступ к полным необработанным аудиозаписям заказов через окно автопродаж, которые иногда содержали личную информацию. Хакеры получили доступ к системам оценки санузлов, однако они решили их не изменять.

Блог BobDaHacker подчеркнул, что «в ходе этого исследования не были сохранены данные клиентов», соблюдая практики ответственного раскрытия информации, как сообщает TH.

Этот обзор освещает серьезные риски, с которыми сталкиваются крупные сети быстрого питания, и подчеркивает важность прочных практик в области кибербезопасности в глобальных компаниях.