Этические хакеры, известные как BobDaHacker и BobTheShoplifter, утверждают, что обнаружили «катастрофические» уязвимости в нескольких платформах, принадлежащих Restaurant Brands International (RBI). Хотя название RBI может быть не всем знакомо, заявленные недостатки в безопасности затрагивают системы, поддерживающие такие крупные бренды, как Burger King, Tim Hortons и Popeyes, с более чем 30 000 точек по всему миру.
В блоге BobDaHacker (ныне удаленном, но доступном в архиве) саркастично отмечено, что «их защита была столь же надежна, как бумажная обертка от бургера под дождем». Уязвимости, о которых идет речь, представляют серьезную угрозу, включая доступ к учетным записям сотрудников, системам заказов и записям разговоров на автораздаче. Однако, несмотря на ответственное уведомление RBI об уязвимостях, хакеры утверждают, что не получили никакого признания.
Масштаб уязвимостей RBI
Согласно заявлению, уязвимости затрагивали домены платформ ассистентов: https://assistant.bk.com, https://assistant.popeyes.com и https://assistant.timhortons.com, причем все они были одинаково уязвимы для эксплуатации во всех 30 000+ точках сети. Потенциальный злоумышленник, по словам хакеров, мог:
- Просматривать и редактировать учетные записи сотрудников.
- Получать доступ к записям разговоров клиентов на автораздаче.
- Управлять интерфейсами планшетов в ресторанах.
- Заказывать оборудование, например планшеты.
- Отправлять уведомления в рестораны.
- И выполнять другие действия.
Как были обнаружены уязвимости
В блоге BobDaHacker процесс обнаружения уязвимостей описан как почти тривиальный. Утверждается, что API для регистрации, названное хакерами «Anyone Can Join This Party», не имело ограничений на создание учетных записей, так как разработчики «забыли отключить регистрацию пользователей». С использованием интроспекции GraphQL был найден еще более простой конечный пункт регистрации, обходящий проверку электронной почты. Пароль, отправленный в письме в открытом виде, вызвал у хакеров саркастическое замечание о «впечатляющей приверженности ужасным практикам безопасности».
После авторизации хакеры якобы получили доступ к личной информации сотрудников, внутренним идентификаторам, конфигурационным данным и другим материалам. Более того, мутация GraphQL под названием createToken позволила им «повысить себя до статуса администратора на всей платформе».
Пароли, закодированные в HTML
Список ошибок безопасности RBI на этом не заканчивается. На сайте для заказа оборудования был обнаружен пароль, жестко закодированный в HTML. Аналогичная проблема была найдена в интерфейсах планшетов автораздачи, где пароль, по утверждению хакеров, был установлен как «admin». Кроме того, хакеры получили доступ к необработанным аудиофайлам разговоров клиентов на автораздаче, которые иногда содержали личную информацию. Утверждается, что RBI использует эти записи для анализа метрик клиентов и сотрудников с помощью ИИ.
Также хакеры обнаружили код для экранов оценки туалетов в ресторанах, что, по их словам, теоретически позволяло «поставить пятизвездочный отзыв туалету в Токио, сидя в пижаме в Огайо». Однако, будучи этичными хакерами, они воздержались от подобных действий.
Ответственное раскрытие
В блоге подчеркивается, что в ходе исследования не сохранялись данные клиентов, а процесс следовал протоколам ответственного раскрытия. Тем не менее, финальное замечание хакеров, что «Wendy's лучше», возможно, отражает их разочарование в отсутствии реакции со стороны RBI.
Без независимого подтверждения, например, официального заявления от RBI или доступа к исходному блогу, эти утверждения требуют осторожного подхода. Удаление оригинального блога и отсутствие публичного ответа от RBI оставляют вопросы о достоверности и масштабах уязвимостей открытыми для обсуждения.
Оригинал
Уникальность
