Хакери разкриха катастрофални уязвимости, паролите на всички са в опасност

Етичните хакери BobDaHacker и BobTheShoplifter обявиха, че са открили „катастрофални уязвимости“ в компютърните системи на групата Restaurant Brands International (RBI), която притежава известни вериги ресторанти като Burger King, Tim Hortons и Popeyes с над 30 000 филиала по целия свят, пише Калдата.

Оказа се, че корпоративните уебсайтове assistant.bk.com, assistant.popeyes.com и assistant.timhortons.com са могли лесно да бъдат компрометирани във всички над 30 000 филиала на групата по света. Откритите уязвимости са позволявали на хакерите лесно да получат достъп до акаунтите на служителите, до системите за касиране и да прослушват записи на разговори с клиенти в автокъщите.

Според етичните хакери, API-то за регистрация позволявало на всеки да влезе в компютърната система на групата, тъй като екипът за разработване на уеб сайтове „е забравил да блокира регистрацията на потребителите“. Използвайки функцията за интроспекция на GraphQL, хакерите са успели да създадат акаунт без потвърждение по имейл, а паролата е била изпратена като обикновен текст. Използвайки инструмента createToken, специалистите са успели да повишат статуса си до администратор в платформата.

Етичните хакери уведомили RBI за уязвимостите, които тя бързо отстранила, без дори да благодари на експертите за помощта им.