Ethische hackers BobDaHacker en BobTheShoplifter ontdekten ernstige beveiligingslekken bij Restaurant Brands International (RBI), de keten achter Burger King. De kwetsbaarheden stelden hen in staat om toegang te krijgen tot werknemersaccounts, drive-throughopnames af te luisteren en winkel-interfaces te besturen van meer dan 30.000 locaties wereldwijd van Burger King, Tim Hortons en Popeyes.
Na succesvolle inbraak konden de hackers werknemersaccounts bekijken en bewerken, drive-through-gesprekken afluisteren, winkel-tablets besturen, winkelapparatuur bestellen en meldingen naar winkels sturen. Deze toegang gold voor alle 30.000+ locaties van de groep wereldwijd.
Volgens het BobDaHacker-blog werd geen klantdata bewaard tijdens het onderzoek. De hackers volgden verantwoorde disclosure-protocollen. Ondanks deze ethische aanpak werden zij nooit erkend door RBI voor hun bevindingen.
Simpele inbraak met verstrekkende consequenties
De ontdekking van de beveiligingslekken was volgens het BobDaHacker-blog bijna triviaal te noemen. Bij RBI’s assistent-platforms voor https://assistant.bk.com, https://assistant.popeyes.com en https://assistant.timhortons.com konden hackers eenvoudig binnendringen. De twee Bobs troffen een inschrijf-API aan waarbij het ontwikkelingsteam was vergeten gebruikersregistraties uit te schakelen. Vervolgens ontdekten zij via GraphQL-introspectie een endpoint dat volledig de e-mailverificatie omzeilde.
Na authenticatie kregen de hackers toegang tot persoonlijke informatie van winkelmedewerkers, interne ID’s en configuratiedetails. Een GraphQL-mutatie genaamd createToken stelde hen in staat zichzelf te promoveren tot beheerdersrechten binnen het hele platform.
Wachtwoorden én privacy-risico’s
De securityproblemen hielden daar niet op. Op RBI’s website voor apparatuurbestellingen stond het wachtwoord hard coded in de HTML. Een soortgelijke fout zat in de drive-through tablet-interfaces in filialen, waar het wachtwoord simpelweg ‘admin’ was.
Nog zorgwekkender: de hackers ontdekten dat zij toegang hadden tot de volledige ruwe audiobestanden van mensen die eten bestelden bij drive-throughs. Soms bevatten deze opnames persoonlijk identificeerbare informatie. RBI voert deze opnames naar AI-systemen om klant- en werknemersstatistieken te meten.
De hackers vonden ook code voor beoordelingsschermen van restauranttoiletten. De onderzoekers sloten hun bevindingen af met een speelse opmerking: “Wendy’s is better.” Wendy’s is in Amerika een fastfoodketen waar Burger King nauw mee concurreert.
Tip: Update: McDonald’s wereldwijd dicht door configuratiewijziging