Burger King: Дыры в кибербезопасности выдала пара хакеров

Группа компаний Restaurant Brands International (или RBI — держатель брендов Burger King, Tim Hortons и Popeyes) громко прокололась: что-то пошло не так, и этим чем-то оказалась их цифровая безопасность. Два этичных (то есть, не совсем злых, а скорее любознательных) хакера по прозвищам BobDaHacker и BobTheShoplifter решили проверить, как Burger King защищает тайны своего фастфуда. Спойлер: никак. Хардкоденные пароли прямо в коде сайта заказа оборудования? Легко! Вот, считайте, ключи от замка, висящие на дверной ручке. А в системе для планшетов на автораздаче паролем было гениальное сочетание букв: "admin". Столько усилий над безопасностью видели разве что школьные сайты 2007 года.

Ребята залезли куда только можно, даже прослушивали сырые аудиозаписи диалогов с автораздачи — да-да, там нередко звучали личные данные клиентов. Эти записи потом обрабатывались искусственным интеллектом, чтобы судить как о работниках, так и о покупателях — ну просто социальный рейтинг a-la фастфуд.

Шалуны обнаружили API, куда мог зарегистрироваться кто угодно, и письма на электронку с паролями простым текстом. Под конец им удалось выдать себе админские полномочия и даже попасть на экраны для оценки состояния туалетов! Вот веселье… Они, конечно, подстраховались, и базу с собой не унесли, но если бы на их месте были другие?

RBI так толком и не отблагодарил хакеров — всё подчистили молча. Сами пацаны сравнили корпоративную защиту с бумажной обёрткой от Whopper’а, которую намочил дождь: трону — и всё порвалось. Вопрос в том, сделали ли они выводы или просто залатали дыру и забыли.