Этичные хакеры под псевдонимами BobDaHacker и BobTheShoplifter сообщили об обнаружении серьёзных уязвимостей в компьютерных системах группы Restaurant Brands International (RBI), управляющей такими известными сетями ресторанов, как Burger King, Tim Hortons и Popeyes. Всего под контролем RBI находится более 30 тыс. филиалов по всему миру.

Что удалось обнаружить

По словам исследователей, корпоративные сайты assistant.bk.com, assistant.popeyes.com и assistant.timhortons.com были подвержены атакам, которые позволяли:

• получать доступ к учётным записям сотрудников;

• управлять системами оформления заказов;

• прослушивать записи разговоров клиентов в автокафе.

Основные дыры в безопасности

Хакеры описали целый ряд критических недочётов в защите:

• открытая регистрация: API позволял любому пользователю создать учётную запись без подтверждения по email;

• пароли в открытом виде: система отправляла пароль простым текстом;

• повышение прав через createToken: позволяло получить статус администратора на всей платформе;

• универсальный пароль «admin» для планшетов автокафе;

• жёстко прописанные пароли в HTML-коде для входа в систему заказов устройств группы.

Реакция RBI

После уведомления со стороны специалистов, компания оперативно закрыла уязвимости, однако, по словам хакеров, не выразила благодарности за помощь и фактически проигнорировала вклад исследователей.

Почему это важно

Случай наглядно показывает, насколько опасными могут быть простейшие ошибки веб-разработки, когда в коде остаются «дыры» уровня пароля admin или отсутствие базовых проверок при регистрации. Подобные уязвимости в масштабах глобальной сети ресторанов могли привести к серьёзным последствиям — от кражи данных сотрудников и клиентов до блокировки работы целых филиалов.