Исследователи кибербеза взломали управляющую компанию сети ресторанов Burger King

Исследователи кибербезопасности под псевдонимами BobDaHacker и BobTheShoplifter рассказали о выявлении серьёзных уязвимостей в инфраструктуре Restaurant Brands International (RBI). RBI управляет сетями Burger King, Tim Hortons и Popeyes, что составляет 30 тысяч точек по всему миру. Также у RBI есть внутренняя платформа Assistant, обеспечивающая работу экранов в drive-thru (сервис в ресторане или кафе, где посетители могут заказать еду или напитки, не выходя из автомобиля), планшетов для обратной связи и других сервисов. По словам исследователей, уровень защиты сервисов был крайне низким. Однако позднее технический отчёт BobDaHacker и BobTheShoplifter с подробностями был удалён. На момент написания материала даже в веб-архивах при беглом поиске нет страницы отчёта.

Уязвимости позволяли создавать учётные записи и обходить проверку электронной почты, так как разработчики не отключили регистрацию пользователей. Пароли при этом пересылались в открытом виде. В API GraphQL был найден вызов createToken, который позволял без какой-либо аутентификации выпускать токены и повышать свои права до уровня администратора. Таким образом становилось возможным управлять системой на уровне всей сети.

Исследователи нашли глобальный каталог ресторанов с внутренними данными сотрудников и конфигурационными параметрами. ИБ-специалисты также обнаружили интерфейсы для планшетов в drive-thru, позволяющие просматривать историю разговоров, изменять звук и управлять экранами.

Диагностические страницы были защищены паролем admin, хранящимся в коде. Отдельная уязвимость затрагивала сайт RBI для заказа оборудования. Пароль там также был жёстко зашит в HTML. Через этот ресурс можно было оформить заказ на комплекты оборудования для ресторанов, включая