Hakeriai įsilaužė į „Burger King“ ir „apako“ – kas nutiko?

Du programišiai, pasivadinę BobDaHacker ir BobTheShoplifter, atskleidė stulbinančias saugumo spragas pasaulinei greitojo maisto milžinei „Restaurant Brands International“ (RBI). Nors pati įmonė daugeliui gali būti negirdėta, ji valdo gerai žinomus prekės ženklus – „Burger King“, „Tim Hortons“ ir „Popeyes“. Pasak programišių, patekti į šių tinklų vidines sistemas buvo taip lengva, kad tai labiau priminė techninę klaidą nei profesionaliai sukurtą IT sistemą. Kas slypėjo šios sistemos viduje ir kaip jiems pavyko ją nulaužti – skaitykite toliau.

Milžiniško masto saugumo spragos – netikėta RBI reakcija

BioDaHacker savo tinklaraštyje pašaipiai rašė, kad „Restaurant Brands International“ (RBI) sistemų saugumas buvo toks pat patikimas, kaip popierinis mėsainio įvyniojimas per lietų. 

Jis taip pat pasidalino techninėmis detalėmis apie tai, kaip jam su kolega pavyko įsilaužti. Beje, nors šis tinklaraščio įrašas vėliau buvo pašalintas, jo kopiją vis dar galima rasti internete.

Svarbu paminėti, kad visi RBI maisto tinklai – „Burger King“, „Popeyes“ ir „Tim Hortons“ – naudojo tas pačias vidines sistemas, kurios turėjo vienodas saugumo spragas. Šios sistemos buvo skirtos darbuotojams ir vadovams tvarkyti užsakymams, tarpusavyje bendrauti, valdyti įrangą ir atlikti kitus su darbus susijusius reikalus. 

Kadangi tinklai priklauso tai pačiai įmonei RBI, jų skaitmeniniai įrankiai buvo labai panašūs. Būtent tai leido įsilaužėliams vienu metu paveikti daugiau nei 30 tūkstančių restoranų visame pasaulyje.

Į šias vidines sistemas įsilaužę programišiai priėjo prie pačios jautriausios įmonės  informacijos. Tačiau, vietoje piktnaudžiavimo šia informacija – ar bent jau siekio gauti už tai dosnią kompensaciją – jie atsakingai pranešė RBI apie rastas spragas. 

Nepaisant to, RBI nei pripažino savo klaidų, nei padėkojo programišiams už išaiškintas ir atsakingai praneštas saugumo problemas – tokia įmonės reakcija daug kam pasirodė mažų mažiausiai keista.

Kaip buvo atrastos spragos

Programišiai pasakoja, kad į sistemas patekti buvo juokingai lengva – registracija nebuvo apribota, o vėliau kitas jų atrastas būdas net nereikalavo el. pašto patvirtinimo. Slaptažodžiai buvo siunčiami nešifruoti, o tai, jų teigimu, rodė ypač prastą saugumą.

Prisijungę jie gavo prieigą prie darbuotojų duomenų, nustatymų ir galėjo pasidaryti administratoriaus teises. Kitose sistemose slaptažodžiai buvo atvirai matomi puslapio kode. Arba, dar ironiškiau, – kai kurie slaptažodžiai buvo tiesiog „admin“.

Dar viena rimta spraga – galimybė klausytis klientų pokalbių „drive-thru“ langeliuose, kuriuose kartais pasigirsdavo asmeninė informacija. Įmonė šiuos įrašus naudojo dirbtinio intelekto (DI) analizei.

Galiausiai aptikta net tualetų vertinimo sistema – juokauta, kad būtų buvę galima sėdint namie JAV „apdovanoti“ tualetą Tokijuje.

Programišiai pabrėžia, kad jokių duomenų neišsaugojo ir apie viską atsakingai pranešė įmonei. Bet savo įrašą vis tiek baigė šmaikščiai: „Wendy’s vis tiek geriau.“