Etičtí hackeři se nabourali do systémů Burger Kingu a veřejně je zostudili
Skupina Restaurant Brands International (RBI), vlastnící značky jako Burger King, Tim Hortons či Popeyes, se stala terčem "útoku" etických hackerů, který si za rámeček vedení určitě nedá.
Dvojice hackerů BobDaHacker a BobTheShoplifter, kteří se řadí mezi etické hackery, zveřejnila obsáhlý dokument o „katastrofických“ zranitelnostech systémů RBI. Zabezpečení přitom BobDaHacker popsal „tak spolehlivé, jako papírový obal Whopperu v dešti“. Hackeři se dostali do účtů zaměstnanců, objednávkových systémů a dokonce mohli odposlouchávat rozhovory na drive-thru.
Jedním z největších problémů bylo otevřené registrační API, které umožňovalo komukoli založit účet bez jakýchkoli omezení. Díky zapnutému GraphQL introspection pak odhalili další otevřený endpoint, jenž nevyžadoval ani ověření e-mailem.
Mezi další slabiny patřilo například pevně zakódované heslo přímo v HTML kódu či volně dostupné záznamy z drive-thru systémů. Všechny tyto nedostatky dvojice předala RBI, avšak firma na jejich podněty už dále nereagovala. Hackeři proto zveřejnili celý příběh ve formě příspěvku na blogu. Výsledkem byla stížnost na porušení autorských práv, kterou Burger King poslal prostřednictvím svých právníků. V reakci na to tak byl blog raději stažen, je ale stále dostupný v archivu.
