Исследователи кибербеза взломали управляющую компанию сети ресторанов Burger King

Исследователи кибербезопасности под псевдонимами BobDaHacker и BobTheShoplifter рассказали ^[1] о выявлении серьёзных уязвимостей в инфраструктуре Restaurant Brands International (RBI). RBI управляет сетями Burger King, Tim Hortons и Popeyes, что составляет 30 тысяч точек по всему миру. Также у RBI есть внутренняя платформа Assistant, обеспечивающая работу экранов в drive-thru (сервис в ресторане или кафе, где посетители могут заказать еду или напитки, не выходя из автомобиля), планшетов для обратной связи и других сервисов. По словам исследователей, уровень защиты сервисов был крайне низким. Однако позднее технический отчёт BobDaHacker и BobTheShoplifter с подробностями был удалён ^[2]. На момент написания материала даже в веб-архивах при беглом поиске нет страницы отчёта.

Уязвимости позволяли создавать учётные записи и обходить проверку электронной почты, так как разработчики не отключили регистрацию пользователей. Пароли при этом пересылались в открытом виде. В API GraphQL был найден вызов createToken, который позволял без какой-либо аутентификации выпускать токены и повышать свои права до уровня администратора. Таким образом становилось возможным управлять системой на уровне всей сети.

Исследователи нашли глобальный каталог ресторанов с внутренними данными сотрудников и конфигурационными параметрами. ИБ-специалисты также обнаружили интерфейсы для планшетов в drive-thru, позволяющие просматривать историю разговоров, изменять звук и управлять экранами.

Диагностические страницы были защищены паролем admin, хранящимся в коде.Отдельная уязвимость затрагивала сайт RBI для заказа оборудования. Пароль там также был жёстко зашит в HTML. Через этот ресурс можно было оформить заказ на комплекты оборудования для ресторанов, включая планшеты.

Главной опасностью кибербез‑исследователи назвали полученный доступ к аудиозаписям реальных заказов в drive‑thru. Исследователи утверждают, что можно было прослушивать исходные записи, где нередко встречались личные данные клиентов. Эти файлы использовались для анализа качества обслуживания и обучения ^[3] систем искусственного интеллекта ^[4], отслеживающих настроение клиентов, работу персонала и эффективность дополнительных продаж.

Кроме того, был обнаружен модуль для сбора отзывов о туалетах, размещённый по адресам вида assistant.bk.com/feedback/storeid. Отправка отзывов не требовала аутентификации, что позволяло оставлять оценки от имени любого ресторана сети.

Исследователи заявили, что не сохраняли пользовательскую информацию и действовали в рамках ответственного раскрытия уязвимостей. Однако, по утверждению BobDaHacker и BobTheShoplifter, компания RBI не выразила благодарности за найденные ошибки ^[5].