Ключ от Burger King: «Admin»

Исследователи кибербезопасности под псевдонимами BobDaHacker и BobTheShoplifter обнародовали шокирующие данные об уязвимостях в системах Restaurant Brands International (RBI), владельца сетей Burger King, Tim Hortons и Popeyes. По их словам, безопасность корпорации была настолько слабой, что её сравнили с «промокшей под дождём обёрткой от Воппера».

Доступ к внутренним сервисам можно было получить через административные порталы, обслуживающие все 30 тысяч ресторанов по всему миру. Уязвимости позволяли хакерам захватывать аккаунты сотрудников, управлять системами заказов, прослушивать записи с драйв-трахов и даже удалённо управлять планшетами в ресторанах.

Главной причиной взлома стала критическая ошибка разработчиков, которые «забыли отключить регистрацию» в системе. Это позволило злоумышленникам создать учётную запись, а через анализ API получить права глобального администратора. Пароли в системе хранились в открытом виде, а в других сервисах использовались стандартные комбинации вроде «admin».

Исследователи заявили, что действовали в рамках ответственного раскрытия уязвимостей и не похищали пользовательские данные. Однако компания RBI, по их словам, не отреагировала на уведомление и не выразила благодарности. Свой отчёт они завершили ироничным замечанием: «Вендис всё равно лучше».