Burger King został ośmieszony przez hakerów. Na szczęście, trafili na bardzo miłych ludzi, nie zrobili im większej krzywdy.
Dwóch „etycznych hakerów” natrafiło na poważne luki w zabezpieczeniach systemów Restaurant Brands International (RBI), właściciela marek Burger King, Tim Hortons oraz Popeyes. Ich odkrycia obejmowały ponad 30 tysięcy lokali na całym świecie. Całkiem sporo. Co ciekawe, wszystkie trzy serwisy asystentów (assistant.bk.com, assistant.popeyes.com i assistant.timhortons.com) posiadały identyczne błędy, które można było w prosty sposób wykorzystać.
Najpoważniejsze problemy wynikały z tego, że twórcy systemów pozostawili otwartą rejestrację użytkowników, a hasła przesyłane były w formie niezaszyfrowanej. Co gorsza, w module zamówień sprzętu dane dostępowe wpisano bezpośrednio w kod HTML. Jeszcze bardziej szokujące było to, że domyślne hasło do tabletów obsługujących drive-thru brzmiało po prostu „admin”. W efekcie możliwe było przejęcie kont administratorów, podsłuchiwanie nagrań z rozmów klientów, a także dostęp do danych osobowych.
Błędy pozwalały kontrolować profile pracowników, systemy restauracji, a nawet wysyłać im komunikaty. Hakerzy żartobliwie zauważyli, że z poziomu Ohio mogli wystawiać oceny… toaletom w japońskich lokalach. Pomijając jednak kilka bardzo niegroźnych żartów, bardziej w ramach testów, Burger King nie odniósł żadnych strat. Hakerzy nie chcieli nic popsuć, samo włamanie wystarczyło.
Burger King zareagował i naprawił luki. A potem nie podziękował nawet hakerom, którzy zrobili tak naprawdę konkretny audyt cyberbezpieczeństwa. Jak stwierdzili sami odkrywcy – następnym razem ktoś mniej życzliwy może nie być tak łagodny.
Zobacz też:
Ransomware to przeszłość, hakerzy mają nowe narzędzia.
McDonalds stawia na większą automatyzację w drive-thru.
200 tys. Polaków ofiarą hakerów. Wykradli dane ze sklepu AGD
