Хакеры взломали Burger King

Два этичных хакера под псевдонимами BobDaHacker и BobTheShoplifter обнаружили уязвимости в системах компании Restaurant Brands International (RBI), которая владеет такими сетями, как Burger King, Tim Hortons и Popeyes. По словам исследователей, уязвимости позволяли получить доступ к аккаунтам сотрудников, системам заказов и даже прослушивать записи переговоров на «драйв-тру». 

По данным Tom's Hardware, уязвимости также позволяли управлять планшетами в ресторанах через административные интерфейсы, отправлять уведомления и оформлять заказы на оборудование. 

Авторам исследования удалось попасть в систему после того, как разработчики «забыли отключить регистрацию». Последующий анализ API и GraphQL открыл возможность обходить проверку e-mail, а пароли хранились в открытом виде. С помощью отдельного вызова createToken исследователи смогли назначить себе права администратора на всей платформе. 

Ошибки встречались и в других сервисах RBI. В системе заказа оборудования пароль оказался прописан в коде HTML, а на планшетах для обслуживания клиентов в «драйв-тру» использовался пароль admin. Также хакеры нашли незащищенные аудиозаписи заказов, которые используются для обучения систем анализа качества работы ресторанов. Иногда в них содержались персональные данные клиентов. 

Ранее исследователь BobDaHacker обнаружил множество уязвимостей в цифровой инфраструктуре McDonald's. Как отметил специалист, с их помощью можно было получить доступ к внутренним корпоративным системам и узнать личные данные клиентов.