Os hackers éticos BobDaHacker e BobTheShoplifter anunciaram a descoberta de “vulnerabilidades catastróficas” nos sistemas de computador da Restaurant Brands International (RBI), dona de redes de restaurantes conhecidas como Burger King, Tim Hortons e Popeyes, com mais de 30.000 filiais no mundo todo.
Fonte da imagem: Desola Lanre-Ologun/unsplash.com
Descobriu-se que os sites corporativos assistant.bk.com, assistant.popeyes.com e assistant.timhortons.com poderiam ter sido facilmente hackeados em todas as mais de 30.000 filiais do grupo em todo o mundo. As vulnerabilidades descobertas permitiram que hackers acessassem facilmente contas de funcionários, sistemas de pedidos e ouvissem gravações de conversas com clientes em cafés drive-thru.
De acordo com os hackers éticos, a API de registro permite que qualquer pessoa faça login no sistema de computadores do grupo porque a equipe de desenvolvimento web “esqueceu de bloquear o registro do usuário”. Usando a função de introspecção GraphQL, os hackers conseguiram criar uma conta sem confirmação por e-mail, e a senha foi enviada em texto simples. Usando a ferramenta createToken, os hackers white hat conseguiram atualizar seu status para administrador em toda a plataforma. A senha em todos os tablets dos cafés drive-thru era admin. E para entrar no sistema de pedidos do dispositivo do grupo, a senha foi codificada no código HTML.
Hackers éticos notificaram o RBI sobre as vulnerabilidades que descobriram, que foram rapidamente corrigidas, sem nem mesmo agradecer aos especialistas pela ajuda.