
«Белый» хакер взломал Burger King — и это оказалось намного проще, чем ожидалось. Кто-то оставил пароль «admin» прямо в коде сайта.
«Этичные» хакеры BobDaHacker и BobTheShoplifter искали уязвимости в системах, чтобы сообщить о них и помочь их исправить. Например, похожая проблема уничтожила компанию со 158-летней историей и оставила без работы 700 человек. А уже сейчас такую «критическую» удалось найти в системах Restaurant Brands International (RBI) — компании, которая руководит Burger King, Tim Hortons и Popeyes. Речь идет о более 30 000 локаций по всему миру.
«Их безопасность была столь же надежной, как обертка от бумажного Whopper под дождем», — иронизирует блог BobDaHacker.
Исследователи смогли получить доступ к учетным записям сотрудников, внутренним системам заказов и даже прослушивать записи разговоров на автокассе. Проблемы начинались еще с API, которое позволяло любому регистрироваться, потому что разработчики «забыли отключить регистрацию пользователей». Затем через запросы GraphQL удалось найти способ обходить проверку электронной почты, а пароли хранились в открытом виде. С помощью createToken хакеры повысили свой статус до администратора.
Отдельная «изюминка» — пароли, которые просто прописаны в коде. Быстрый осмотр вебсайта заказа оборудования RBI показал, что в HTML прямо прописан доступ к системе хранения устройств. А на планшетах в Burger King пароль вообще был «admin». Именно это позволило добраться и до аудиозаписей клиентов на автокассе, которые передаются системам ИИ.
Среди прочего хакеры наткнулись даже на систему оценки ванных комнат в ресторанах. Они шутят, что могли «дать 5-звездочный отзыв о ванной комнате в Токио, сидя в пижаме в Огайо», но воздержались. Блогеры отметили, что не хранили никаких данных клиентов и придерживались правил ответственного раскрытия.
Но RBI их работу официально так и не признала. Поэтому они завершили исследование дерзкой фразой: «Wendy’s лучше». Однако ситуация все равно абсурдная, что программисты оставили пароль от Burger King просто в коде. На этом фоне вспоминается другой откровенно глупый случай: после одного звонка техподдержка выдала пароль производителя бытовой химии Clorox.
Источник: TomsHardware
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: