Restaurant Brands International, czyli właściciel między innymi Burger Kinga, czy Popeyes znalazł się właśnie w ogniu krytyki. Dwóch tzw. etycznych hakerów sprawdziła zabezpieczenia firmy i znalazła krytyczne luki w infrastrukturze, które pozwalały na chociażby przejmowanie kontroli nad interfejsami tabletów w restauracjach.
W świecie, gdzie wszystko powoli przenosi się do Internetu, właściwe zabezpieczenia przed atakami na infrastrukturę cyfrową stają się koniecznością. Nie chodzi już tylko o pieniądze giga korporacji, ale także o bezpieczeństwo danych ich klientów. Niestety, duże marki często oszczędzają na tym aspekcie, co może odbić się im czkawką.
Przekonał się o tym właśnie Burger King, którego zabezpieczenia nie tylko zostały złamane przez hakerów, ale także wyśmiana została archaiczna infrastruktura. Teraz klienci mają uzasadnione prawo do obarczania winą giganta za ewentualne wycieki danych.
Globalny gigant gastronomiczny Restaurant Brands International (RBI), właściciel marek takich jak Burger King, Tim Hortons i Popeyes, znalazł się w ogniu krytyki po ujawnieniu poważnych błędów w zabezpieczeniach swoich systemów. Dwójka etycznych hakerów (takich, którzy znajdują luki w zabezpieczeniach, sporządzają raporty i informują sprawdzaną firmę), znanych jako BobDaHacker i BobTheShoplifter, poinformowała o „katastrofalnych” lukach, które – jak twierdzą – pozwalały na niemal nieograniczony dostęp do infrastruktury technologicznej obsługującej ponad 30 tysięcy restauracji na całym świecie.
W swoim raporcie hakerzy ironicznie porównali zabezpieczenia RBI do „papierowej serwetki od Whoppera w deszczu”. Ich zdaniem systemy były tak słabo chronione, że praktycznie każdy średnio zaawansowany użytkownik mógłby je z łatwością złamać.
Odkryte podatności dotyczyły trzech domen: assistant.bk.com, assistant.popeyes.com oraz assistant.timhortons.com. Wszystkie, według relacji hakerów, zawierały identyczne błędy. To oznaczało, że luka miała charakter globalny i potencjalnie zagrażała bezpieczeństwu pracowników i klientów w tysiącach lokali.
Lista możliwości, jakie otwierały się przed cyberprzestępcami, budzi poważne obawy. Według BobDaHackera i BobTheShopliftera, po uzyskaniu dostępu możliwe było m.in.:
Szczególnie niepokojące jest to, że wśród nagrań z drive-thru mogły znajdować się dane pozwalające na identyfikację klientów. Co więcej, RBI wykorzystuje te materiały w systemach sztucznej inteligencji do oceny jakości obsługi.
Opisane przez hakerów niedociągnięcia świadczą o rażących zaniedbaniach w zakresie bezpieczeństwa IT. Wśród nich znalazły się m.in.:
Jakby tego było mało, hakerzy odkryli również luki w systemach służących do zamawiania sprzętu oraz w modułach odpowiedzialnych za oceny czystości toalet w restauracjach.
BobDaHacker i BobTheShoplifter zapewnili, że nie zatrzymali żadnych danych klientów i stosowali się do zasad tzw. odpowiedzialnego ujawnienia. O wszystkich lukach poinformowali RBI, jednak – jak twierdzą – firma nigdy nie przyznała im racji ani nie podziękowała za zgłoszenie.
Na koniec swojego raportu hakerzy pozwolili sobie na żartobliwy komentarz, sugerując, że po doświadczeniach z RBI mogą stwierdzić tylko jedno: „Wendy’s jest lepsze”.
Grafika: depositphotos.com
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
