Новини WTF 09.09.2025 comment views icon

Хакер зламав Burger King через пароль "admin", який лежав просто в HTML

author avatar

Маргарита Юзяк

Авторка новин

Хакер зламав Burger King через пароль "admin", який лежав просто в HTML
Depositphotos

“Білий” хакер зламав Burger King — і це виявилося набагато простіше, ніж очікувалося. Хтось залишив пароль “admin” просто в коді сайту.

“Етичні” хакери BobDaHacker та BobTheShoplifter шукали вразливості в системах, щоб повідомити про них і допомогти їх виправити. Наприклад, схожа проблема знищила компанію із 158-річною історією та лишив без роботи 700 людей. А вже наразі таку “критичну” вдалося знайти в системах Restaurant Brands International (RBI) — компанії, яка керує Burger King, Tim Hortons і Popeyes. Йдеться про понад 30 000 локацій по всьому світу.

“Їхня безпека була настільки ж надійною, як обгортка від паперового Whopper під дощем”, — іронізує блог BobDaHacker.

Дослідники змогли отримати доступ до облікових записів співробітників, внутрішніх систем замовлень і навіть прослуховувати записи розмов на автокасі. Проблеми починалися ще з API, яке дозволяло будь-кому реєструватися, бо розробники “забули вимкнути реєстрацію користувачів”. Потім через запити GraphQL вдалося знайти спосіб обходити перевірку електронної пошти, а паролі зберігалися у відкритому вигляді. За допомогою createToken хакери підвищили свій статус до адміністратора.

Окрема “родзинка” — паролі, які просто прописані в коді. Швидкий огляд вебсайту замовлення обладнання RBI показав, що в HTML прямо прописаний доступ до системи зберігання пристроїв. А на планшетах в Burger King пароль взагалі був “admin”. Саме це дозволило дістатися й до аудіозаписів клієнтів на автокасі, які передаються системам ШІ.

Серед іншого хакери натрапили навіть на систему оцінки ванних кімнат у ресторанах. Вони жартують, що могли “дати 5-зірковий відгук про ванну кімнату в Токіо, сидячи в піжамі в Огайо”, але утрималися. Блогери наголосили, що не зберігали жодних даних клієнтів і дотрималися правил відповідального розкриття.

Але RBI їхню роботу офіційно так і не визнала. Тож вони завершили дослідження зухвалою фразою: “Wendy’s кращий”. Проте ситуація все одно абсурдна, що програмісти залишили пароль від Burger King просто в коді. На цьому фоні згадується інший відверто дурний випадок: після одного дзвінка техпідтримка видала пароль виробника побутової хімії Clorox.

Джерело: TomsHardware

Популярні новини

arrow left
arrow right
Через NPM і GitHub поширюють заражені вірусом Ethereum-смартконтракти
Утиліту fast-glob, яку використовує Пентагон та ще понад 5000 проєктів, розробляє єдиний росіянин з Yandex
У Steam-грі Chemia виявили шкідливе ПЗ, що крало криптовалюту та дані користувачів
Північнокорейські хакери з початку 2025 року вкрали криптовалют на $1,6 млрд
В ювелірній мережі Pandora стався витік даних — хакери отримали "особисту" інформацію клієнтів
США дають $11 млн за "голову" хакера з України
Північнокорейські хакери щоденно намагаються влаштуватися на роботу в Binance
Північнокорейські хакери Lazarus знищили британську криптоплатформу Lykke
Одночасно під’єднані 12 модемів 56K dial-up показали приголомшливу швидкість інтернету… для 1990-х
Нові функції Chrome: цитування відео YouTube для пошуку та групи вкладок одним значком
Ожив біткоїн-кит, який спав 12 років: з гаманця перевели BTC на суму $44 млн
Від збору телеметрії до глобальних трансляцій. Як Lenovo бере участь у технологічних процесах Формули-1®
Що думаєте про цю статтю?
Голосів:
Файно є
Файно є
Йой, най буде!
Йой, най буде!
Трясця!
Трясця!
Ну такої...
Ну такої...
Бісить, аж тіпає!
Бісить, аж тіпає!
Loading comments...

Повідомити про помилку

Текст, який буде надіслано нашим редакторам:

Надіслати