Burger King, Tim Hortons và Popeyes Bị Tấn Công Mạng Nghiêm Trọng

Giới Thiệu

Các nhà nghiên cứu bảo mật BobDaHacker và BobTheShoplifter đã phát hiện ra những lỗ hổng bảo mật nghiêm trọng trên nền tảng kỹ thuật số của ba thương hiệu lớn thuộc Restaurant Brands International (RBI): Burger King, Tim Hortons và Popeyes. Những lỗ hổng này ảnh hưởng đến hơn 30.000 cửa hàng trên toàn thế giới, cho phép kẻ tấn công dễ dàng truy cập trái phép vào hệ thống.

Các Lỗ Hổng Bảo Mật Được Phát Hiện

• API Đăng Ký Không An Toàn: Các API đăng ký cho phép bất kỳ ai cũng có thể tạo tài khoản mà không cần xác minh email.

• Mật Khẩu Mã Hóa Kém: Mật khẩu người dùng được gửi dưới dạng văn bản thuần túy, dễ dàng bị đánh cắp.

• Quyền Quản Trị Dễ Dàng Lạm Dụng: Kẻ tấn công có thể nâng cấp quyền truy cập lên mức quản trị viên toàn cầu thông qua một lệnh GraphQL.

• Mật Khẩu Cứng Trong Mã HTML: Một số thiết bị, như máy tính bảng tại cửa sổ drive-thru, sử dụng mật khẩu "admin" được mã hóa cứng trong mã HTML.

• Truy Cập Dữ Liệu Âm Thanh Drive-Thru: Có thể truy cập các tệp âm thanh thô từ các cuộc gọi drive-thru, đôi khi chứa thông tin nhận dạng cá nhân.

• Hệ Thống Đặt Hàng Thiết Bị Không An Toàn: Hệ thống đặt hàng thiết bị có mật khẩu cứng trong mã HTML, dễ dàng bị truy cập trái phép.

Hậu Quả và Phản Hồi

Mặc dù các nhà nghiên cứu đã thông báo cho RBI về những lỗ hổng này, nhưng họ không nhận được sự công nhận từ công ty. RBI đã nhanh chóng khắc phục các lỗ hổng, nhưng không đưa ra thông báo công khai về sự cố này.