Burger King hackerato

In breve:

Due famosi hacker white hat hanno scoperto vulnerabilità elevate nei sistemi che stanno dietro a Burger King, Popeyes e altri a livello globale. Sono riusciti ad accedere a dati dipendenti, sistemi di ordinazioni e registrazioni drive-thru. Hanno pubblicato l'intera operazione online e il loro blog è stato oscurato. La vulnerabilità è stata risolta senza dare credito agli hacker.

Riassunto completo:

Gli ethical hackers BobDaHacker e BobTheShoplifter hanno individuato vulnerabilità "catastrofiche" nelle piattaforme digitali di Restaurant Brands International (RBI).
Le falle di sicurezza hanno riguardato Burger King, Tim Hortons e Popeyes, interessando oltre 30.000 ristoranti del gruppo a livello globale.
Le vulnerabilità hanno permesso l'accesso a account dei dipendenti, sistemi di ordinazione e registrazioni audio dei drive-thru con dati personali.
L'accesso iniziale è stato reso possibile da un'API di registrazione che consentiva nuove iscrizioni e da un endpoint GraphQL senza verifica email.
I ricercatori hanno ottenuto status di amministratore sull'intera piattaforma tramite una mutazione GraphQL chiamata "createToken".
Password predefinite come "admin" sono state trovate hardcoded nell'HTML per sistemi di ordinazione e interfacce tablet dei drive-thru.
È stato possibile accedere ai file audio grezzi delle ordinazioni drive-thru, alcuni dei quali contenevano informazioni di identificazione personale.
Gli hacker etici hanno informato responsabilmente RBI delle falle, ma l'azienda non ha fornito alcun riconoscimento ufficiale.

I white hat che streammano

Innanzitutto definiamo "white hat": tutti quegli esperti di cybersecurity che attaccano una piattaforma senza scopi malevoli. L'hacking andava molto anche negli anni '90 e duemila ma aveva una forma totalmente diversa. Nessuno avrebbe mai detto oggi di vedere hacker "white hat" che riescono a guadagnare con un audience che li segue online.

Questo testo è un riassunto del seguente articolo (eng):