Хакеры взломали системы Burger King, Tim Hortons и Popeyes из-за катастрофических уязвимостей

Этические хакеры, известные как BobDaHacker и BobTheShoplifter, заявили о обнаружении «катастрофических» уязвимостей в системах Restaurant Brands International (RBI) — компании, владеющей сетями Burger King, Tim Hortons и Popeyes. По их словам, безопасность была «прочной как бумажная обёртка Whopper под дождём».

Изображение: BobDaHacker and BobTheShoplifter

Уязвимости позволяли получить доступ к аккаунтам сотрудников, системам заказов и даже прослушивать записи разговоров на драйв-тру. Взлом затрагивал все 30 000 заведений по всему миру.

Как были обнаружены уязвимости

Хакеры обнаружили, что API-интерфейс регистрации был открыт для всех, так как разработчики «забыли отключить регистрацию пользователей». С помощью GraphQL-интроспекции они нашли endpoint, полностью обходящий проверку email.

После аутентификации они получили доступ к личной информации сотрудников, внутренним ID и деталям конфигурации. Мутация GraphQL под названием createToken позволила им «повысить себя до статуса администратора на всей платформе».

Пароль в HTML-коде

На сайте заказа оборудования RBI пароль был вшит прямо в HTML-код. Аналогичная уязвимость была найдена в интерфейсах планшетов драйв-тру — пароль был жёстко задан как «admin».

Изображение: BobDaHacker and BobTheShoplifter

Хакеры также получили доступ к raw-аудиофайлам записей с драйв-тру, которые иногда содержали персональные данные. RBI использует эти записи для ИИ-систем анализа метрик клиентов и сотрудников.

Блогеры подчёркивают, что не сохраняли данные клиентов и следовали протоколам ответственного раскрытия уязвимостей. RBI на их сообщения не ответила.