Image by M. Rennim, from Unsplash
Burger King i inne marki RBI zhakowane, bezpieczeństwo określane jako ‚mocne jak papierowy opakowanie Whoppera’
Przeczytasz w: 2 min
Ostatnia aktualizacja: Sep 9, 2025
-
![Kiara Fabbri]()
-
![Zespół ds. lokalizacji i tłumaczenia]()
Tłumaczenie Zespół ds. lokalizacji i tłumaczenia Usługi związane z tłumaczeniem i lokalizacją treści
Etyczni hakerzy odkryli katastrofalne luki w zabezpieczeniach informatycznych Burger Kinga, Tim Hortons i Popeyes, narażając konta pracowników, nagrania z punktów obsługi typu drive-thru i słabe praktyki zabezpieczeń na całym świecie.
Spieszysz się? Oto najważniejsze fakty:
- Podatności umożliwiały dostęp do kont pracowników, systemów zamawiania i nagrań audio z punktu obsługi na wynos.
- Hakerzy odnaleźli zaszyfrowane hasła i słabe zabezpieczenia API na wszystkich platformach asystentów.
- Hasła były przechowywane w postaci zwykłego tekstu, a dostęp administratora można było łatwo uzyskać.
Etyczni hakerzy BobDaHacker i BobTheShoplifter twierdzą, że odkryli „katastrofalne” luki w systemach obsługiwanych przez Restaurant Brands International (RBI), firmę stojącą za Burger King, Tim Hortons i Popeyes.
Globalna sieć fast-foodów działa poprzez wspólne platformy, które hakerzy zidentyfikowali jako posiadające poważne luki w zabezpieczeniach, mimo że zarządzają 30 000 lokalizacjami. Blog BobDaHacker opisał środki bezpieczeństwa jako „takie solidne jak papierowy owijka Whoppera na deszczu”, jak zauważył Tom’s Hardware (TH), który jako pierwszy zgłosił tę historię
Błędy w zabezpieczeniach umożliwiły hakerom dostęp do kont pracowników, systemów zamawiania i podsłuchania nagranych rozmów w drive-thru. Etyczni hakerzy nie otrzymali żadnej odpowiedzi od RBI, po prawidłowym powiadomieniu firmy o problemach z bezpieczeństwem, jak wyjaśnił TH.
Wszystkie trzy marki posiadające platformy asystenckie miały identyczne luki w zabezpieczeniach. TH donosi, że haker, który zyskał dostęp do systemu, mógł modyfikować konta pracowników, zarządzać urządzeniami i sprzętem sklepu, rozsyłać alerty do lokalizacji i wykonywać dodatkowe czynności.
Podatności zostały odkryte dzięki połączeniu nieostrożnych konfiguracji API i introspekcji GraphQL. Hakerzy znaleźli punkt końcowy rejestracji, który omijał weryfikację e-mail, ujawniając hasła w formie zwykłego tekstu.
„Byliśmy pod wrażeniem oddania złym praktykom bezpieczeństwa”, napisali, jak donosi TH. Używając mutacji GraphQL o nazwie createToken, mogli „awansować na status admina na całej platformie.”
Dodatkowe błędy bezpieczeństwa obejmowały zaszyfrowane hasła na interfejsach tabletów sklepowych i systemach zamawiania sprzętu, czasami ustawione po prostu na ‚admin’.
TH informuje, że hakerzy uzyskali dostęp do pełnych, nieprzetworzonych nagrań audio z zamówień z drive-thru, które czasami zawierały dane osobowe. Hakerzy uzyskali dostęp do systemów oceny stanu łazienek, jednak zdecydowali się ich nie modyfikować.
Blog BobDaHacker podkreślił, że „żadne dane klientów nie zostały zatrzymane podczas tego badania”, zgodnie z zasadami odpowiedzialnego ujawniania, jak informuje TH.
To ekspozycja podkreśla poważne ryzyko w największych sieciach fast-foodów i podkreśla znaczenie solidnych praktyk z zakresu cyberbezpieczeństwa w globalnych przedsiębiorstwach.
Poprzedni artykuł
Najnowsze artykuły 
