Рубрики НовиниWTF

Хакер зламав Burger King через пароль "admin", який лежав просто в HTML

Опублікував Маргарита Юзяк

“Білий” хакер зламав Burger King — і це виявилося набагато простіше, ніж очікувалося. Хтось залишив пароль “admin” просто в коді сайту.

“Етичні” хакери BobDaHacker та BobTheShoplifter шукали вразливості в системах, щоб повідомити про них і допомогти їх виправити. Наприклад, схожа проблема знищила компанію із 158-річною історією та лишив без роботи 700 людей. А вже наразі таку “критичну” вдалося знайти в системах Restaurant Brands International (RBI) — компанії, яка керує Burger King, Tim Hortons і Popeyes. Йдеться про понад 30 000 локацій по всьому світу.

“Їхня безпека була настільки ж надійною, як обгортка від паперового Whopper під дощем”, — іронізує блог BobDaHacker.

Дослідники змогли отримати доступ до облікових записів співробітників, внутрішніх систем замовлень і навіть прослуховувати записи розмов на автокасі. Проблеми починалися ще з API, яке дозволяло будь-кому реєструватися, бо розробники “забули вимкнути реєстрацію користувачів”. Потім через запити GraphQL вдалося знайти спосіб обходити перевірку електронної пошти, а паролі зберігалися у відкритому вигляді. За допомогою createToken хакери підвищили свій статус до адміністратора.

Окрема “родзинка” — паролі, які просто прописані в коді. Швидкий огляд вебсайту замовлення обладнання RBI показав, що в HTML прямо прописаний доступ до системи зберігання пристроїв. А на планшетах в Burger King пароль взагалі був “admin”. Саме це дозволило дістатися й до аудіозаписів клієнтів на автокасі, які передаються системам ШІ.

Серед іншого хакери натрапили навіть на систему оцінки ванних кімнат у ресторанах. Вони жартують, що могли “дати 5-зірковий відгук про ванну кімнату в Токіо, сидячи в піжамі в Огайо”, але утрималися. Блогери наголосили, що не зберігали жодних даних клієнтів і дотрималися правил відповідального розкриття.

Але RBI їхню роботу офіційно так і не визнала. Тож вони завершили дослідження зухвалою фразою: “Wendy’s кращий”. Проте ситуація все одно абсурдна, що програмісти залишили пароль від Burger King просто в коді. На цьому фоні згадується інший відверто дурний випадок: після одного дзвінка техпідтримка видала пароль виробника побутової хімії Clorox.

Джерело: TomsHardware

Контент сайту призначений для осіб віком від 21 року. Переглядаючи матеріали, ви підтверджуєте свою відповідність віковим обмеженням.

Cуб'єкт у сфері онлайн-медіа; ідентифікатор медіа - R40-06029.