Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Сервисы
AI
Личный опыт
Деньги
Инвестиции
Путешествия
Истории
Крипто
Образование
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Нейроскуф - Про Нейросети & AI
Офтоп

Как один пароль открыл доступ ко всей сети Burger King

Иногда для того, чтобы получить доступ к тысячам объектов по всему миру, не нужны сложные эксплойты или дорогостоящее оборудование. Достаточно одного незащищённого элемента в системе, и вся архитектура рушится. Недавняя история показала, насколько уязвимыми могут быть даже крупнейшие корпорации, когда базовые принципы безопасности игнорируются.

Как один пароль открыл доступ ко всей сети Burger King

В начале сентября в сети появилась публикация о том, что крупнейшая сеть ресторанов Burger King оказалась уязвима из-за пароля "admin", который был прописан прямо в коде. Историю рассказал хакер под ником BobDaHacker, уже известный благодаря предыдущему взлому McDonald's.

Как это произошло

По данным из блога, хакер смог обойти проверку email при регистрации в системе RBI (Restaurant Brands International - владелец Burger King, Tim Hortons и Popeyes). После этого он получил возможность создавать учетные записи с правами администратора через уязвимый GraphQL API.

Следующий шаг оказался почти комичным - в HTML-коде интерфейсов для drive-thru был обнаружен пароль "admin". Этого хватило, чтобы подключиться к внутренней сети ресторанов.

Что удалось сделать

С доступом BobDaHacker мог:

  • прослушивать заказы клиентов в режиме реального времени;
  • управлять музыкальным фоном в любом ресторане сети;
  • наблюдать за активностью касс и заказами.

По словам самого хакера, вмешиваться в состав заказов он не стал, ограничившись демонстрацией проблемы.

Реакция компании и предистория

RBI не опубликовала официальных комментариев. Единственное действие - удаление блога BobDaHacker через DMCA. Никаких заявлений для прессы или извинений перед клиентами не последовало.

Эксперты называют этот случай катастрофическим провалом безопасности. Уязвимости затрагивали не только Burger King, но и другие бренды RBI.

Месяцем ранее BobDaHacker уже попадал в новости - он разместил изображение Шрека на главной странице McDonald's, чтобы привлечь внимание к багам в приложении компании. Этот медийный трюк вынудил корпорацию начать диалог.

Burger King - глобальная сеть с миллиардными оборотами. Но даже в такой структуре защита оказалась построена на уровне пароля "admin". История BobDaHacker показывает, что вопросы безопасности для корпораций решаются не заранее, а постфактум - только когда уязвимости становятся достоянием общественности.

Как встроить ИИ в процесс, рабочие промпты и кейсы - подписывайтесь на мой ТГ-канал

t.me
Нейроскуф
1
Начать дискуссию