Хакеры взломали 30 000 ресторанов Burger King

Этичные хакеры под псевдонимами BobDaHacker и BobTheShoplifter сообщили об обнаружении серьёзных уязвимостей в цифровых платформах, принадлежащих Restaurant Brands International (RBI), сообщает издание Tom's Hardware (TH).

По их словам, системы, обеспечивающие работу более 30 000 ресторанов сетей Burger King, Tim Hortons и Popeyes по всему миру, оказались «почти тривиально легки для взлома».

Специалисты смогли получить доступ к аккаунтам сотрудников, системам заказов, а также прослушивать записи разговоров клиентов на подъездных дорожках (drive-thru). Среди наиболее опасных уязвимостей — возможность получения административных прав через мутацию GraphQL и использование пароля «admin», жёстко прописанного в интерфейсах планшетов. Также отмечается отсутствие проверки электронной почты при регистрации и передача паролей в открытом виде.

По словам хакеров, доступ к системам был возможен благодаря незаблокированному API регистрации. Несмотря на то, что они уведомили RBI о найденных проблемах, компания, как утверждают исследователи, не дала никакого ответа. Хакеры подчёркивают, что в процессе анализа не сохраняли никаких пользовательских данных.