Этические хакеры BobDaHacker и BobTheShoplifter обнаружили катастрофические уязвимости в IT-системах Restaurant Brands International (RBI), владеющей сетями Burger King, Tim Hortons и Popeyes, при этом один из паролей — «admin» — хранился прямо в HTML-коде сайта заказа оборудования. Об этом сообщают издания SecurityLab.ru и Hardware.ru со ссылкой на технический отчет исследователей.
Масштаб и характер уязвимостей
Взлом затронул все 30 тысяч заведений сетей по всему миру. Хакеры получили доступ к аккаунтам сотрудников, системам заказов, могли прослушивать записи разговоров на драйв-ин, управлять планшетами в ресторанах и оформлять заказы на оборудование. Все эти функции работали через домены assistant.bk.com, assistant.popeyes.com и assistant.timhortons.com.
Как произошел взлом
Исследователи обнаружили, что API-интерфейс регистрации был открыт для всех — разработчики «забыли отключить регистрацию пользователей». С помощью GraphQL-интроспекции они нашли способ полностью обойти проверку email, после чего получили доступ к личной информации сотрудников и внутренним данным. Мутация GraphQL под названием createToken позволила им «повысить себя до статуса администратора на всей платформе».
Дополнительные проблемы безопасности
Помимо паролей в коде, хакеры получили доступ к необработанным аудиофайлам записей с драйв-ин, которые иногда содержали персональные данные клиентов. RBI использует эти записи для ИИ-систем анализа метрик клиентов и сотрудников. Также исследователи нашли код для экранов оценки туалетов в ресторанах, что позволяло теоретически «поставить 5-звездочную оценку туалету в Токио, сидя в пижаме в Огайо».
Реакция компании
Этические хакеры подчеркивают, что не сохраняли данные клиентов и следовали протоколам ответственного раскрытия уязвимостей. Однако компания RBI, по их словам, не ответила на их сообщения о найденных проблемах и не поблагодарила за работу. В заключение исследователи иронично отметили: «Wendy’s все равно лучше».
Исследователи сравнили безопасность RBI «с оберткой от Воппера, промокшей под дождем», подчеркнув критический уровень найденных уязвимостей в системах одной из крупнейших сетей быстрого питания в мире.
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе всех новостей и событий Рунета.
