Исследователи кибербезопасности под псевдонимами BobDaHacker и BobTheShoplifter рассказали о выявлении серьёзных уязвимостей в инфраструктуре Restaurant Brands International (RBI). RBI управляет сетями Burger King, Tim Hortons и Popeyes, что составляет 30 тысяч точек по всему миру. Также у RBI есть внутренняя платформа Assistant, обеспечивающая работу экранов в drive-thru (сервис в ресторане или кафе, где посетители могут заказать еду или напитки, не выходя из автомобиля), планшетов для обратной связи и других сервисов. По словам исследователей, уровень защиты сервисов был крайне низким. Однако позднее технический отчёт BobDaHacker и BobTheShoplifter с подробностями был удалён. На момент написания материала даже в веб-архивах при беглом поиске нет страницы отчёта.
Уязвимости позволяли создавать учётные записи и обходить проверку электронной почты, так как разработчики не отключили регистрацию пользователей. Пароли при этом пересылались в открытом виде. В API GraphQL был найден вызов createToken, который позволял без какой-либо аутентификации выпускать токены и повышать свои права до уровня администратора. Таким образом становилось возможным управлять системой на уровне всей сети.
Исследователи нашли глобальный каталог ресторанов с внутренними данными сотрудников и конфигурационными параметрами. ИБ-специалисты также обнаружили интерфейсы для планшетов в drive-thru, позволяющие просматривать историю разговоров, изменять звук и управлять экранами.
Диагностические страницы были защищены паролем admin, хранящимся в коде.Отдельная уязвимость затрагивала сайт RBI для заказа оборудования. Пароль там также был жёстко зашит в HTML. Через этот ресурс можно было оформить заказ на комплекты оборудования для ресторанов, включая планшеты.
Главной опасностью кибербез‑исследователи назвали полученный доступ к аудиозаписям реальных заказов в drive‑thru. Исследователи утверждают, что можно было прослушивать исходные записи, где нередко встречались личные данные клиентов. Эти файлы использовались для анализа качества обслуживания и обучения систем искусственного интеллекта, отслеживающих настроение клиентов, работу персонала и эффективность дополнительных продаж.
Кроме того, был обнаружен модуль для сбора отзывов о туалетах, размещённый по адресам вида assistant.bk.com/feedback/storeid. Отправка отзывов не требовала аутентификации, что позволяло оставлять оценки от имени любого ресторана сети.
Исследователи заявили, что не сохраняли пользовательскую информацию и действовали в рамках ответственного раскрытия уязвимостей. Однако, по утверждению BobDaHacker и BobTheShoplifter, компания RBI не выразила благодарности за найденные ошибки.
Автор: Lexx_Nimofff
