Wc’s reviewen en gesprekken afluisteren: Burger King gehackt, beveiliging blijkt catastrofaal slecht
Het is ethisch hacker BobDaHacker, die we nog kennen van zijn onthullingen rond de belabberde beveiliging van McDonald’s en een ernstig lek bij de seksspeeltjes van Lovense, die samen met collega BobTheShoplifter ontdekte dat verschillende platformen van Restaurant Brands International dezelfde kwetsbaarheden vertonen en dus op dezelfde manier binnengedrongen kunnen worden. Zodoende hackten ze niet alleen Burger King, maar ook Tim Hortons en Popeyes, twee andere merken van RBI.
Samen hebben de drie ketens wereldwijd meer dan 30.000 locaties. De hackers kregen toegang tot de accounts van werknemers, bestelsystemen en meer. Ze konden ook luisteren naar opnames van drive-throughs.
Belachelijk slechte beveiliging
Voor BobDaHacker en BobTheShoplifter bleek het niet moeilijk om binnen te dringen in de systemen van Burger King, Tim Hortons en Popeyes. Hun online platformen die bedoeld zijn voor werknemers hebben dezelfde basis met, zo blijkt, belachelijk slechte beveiliging.
Wie een beetje weet wat hij doet, kon zichzelf makkelijk als werknemer registreren, zonder dat daar echt een controle bij kwam kijken. Ook was het mogelijk om e-mailverificatie te omzeilen en meermaals bleken wachtwoorden niet alleen makkelijk te raden, maar ook nog eens gewoon in de HTML-code vermeld te staan. Veel slechter kan het haast niet wat veiligheid betreft. Door het systeem nog wat verder te manipuleren konden de ethische hackers zichzelf ook tot admin van het hele platform promoten.
Wc’s reviewen en gesprekken afluisteren
Eens ze het systeem verrassend vlot binnengeraakt waren, konden BobDaHacker en BobTheShoplifter indien gewenst heel wat schade aanrichten. Zo konden ze bijvoorbeeld de reviewscores van wc’s in de verschillende restaurants wereldwijd aanpassen, of bepaalde bestellingen plaatsen, of notificaties uitsturen. Ook kon persoonlijke data van werknemers bekeken worden.
Opvallend is ook dat de hackers toegang kregen tot opgenomen gesprekken van verschillende drive-throughs. Daarbij konden soms persoonlijke gegevens van klanten gehoord worden. De audio blijkt door Restaurant Brands International ook gevoed te worden aan AI-systemen om allerlei zaken uit af te leiden, niet alleen betreffende klanten maar ook werknemers.
Actie tegen ethische hackers
Omdat het om ethische hackers gaat, hebben BobDaHacker en BobTheShoplifter niet effectief misbruik gemaakt van de kwetsbaarheden die de platformen van Restaurant Brands International vertoonden. In plaats daarvan werden de gebruikelijke protocollen gevolgd en werd RBI op de hoogte gebracht van de situatie zodat er snel iets aan gedaan kon worden, wat inmiddels ook gebeurd lijkt te zijn.
Desondanks is het opnieuw een indicatie dat zelfs enkele grote bedrijven het niet zo nauw nemen met de beveiliging van hun systemen en bij Restaurant Brands International lijken ze niet meteen te kunnen lachen met de actie van BobDaHacker en BobTheShoplifter. Niet alleen kregen de ethische hackers geen erkenning voor hun werk, hun blogbericht over de zaak moest ook offline gehaald worden (archiefversie hier wel nog beschikbaar) na een klacht van RBI. De hackers zouden met hun berichtgeving het copyright van RBI schenden, aanzetten tot illegale praktijken en valse informatie verspreiden.
