Calma, que é menos grave do que parece.
Hackers éticos, conhecidos como BobDaHacker e BobTheShoplifter, detalharam a descoberta de vulnerabilidades catastróficas em múltiplas plataformas da Restaurant Brands International (RBI), a empresa controladora de grandes marcas de fast food.
Incluindo o Burger King, que paga o pato por ser a mais popular entre as redes envolvidas.
As falhas de segurança afetaram sistemas que alimentam marcas como Burger King, Tim Hortons e Popeyes, que juntas somam mais de 30.000 locais em todo o mundo. A segurança foi descrita como “sólida como um invólucro de papel Whopper na chuva”.
E não há uma metáfora mais precisa do que essa para explicar melhor o sistema de segurança da plataforma.
Onde estava o problema?
Os domínios das plataformas de assistente das três marcas (assistant.bk.com, assistant.popeyes.com, assistant.timhortons.com) compartilhavam as mesmas vulnerabilidades, o que tornava cada um dos sites facilmente exploráveis em uma escala global.
Era uma vulnerabilidade total e irrestrita, ou uma porteira escancarada para dados de clientes, unidades e plataformas internas.
Uma vez dentro dos sistemas, um invasor poderia visualizar e editar contas de funcionários, ouvir gravações de conversas de clientes no drive-thru, acessar e controlar as interfaces dos tablets das lojas e encomendar equipamentos.
Um autêntico Big Brother regado à Whooper (furioso).
Os estragos que poderiam acontecer
A descoberta inicial das falhas foi trivial, pois a equipe de desenvolvimento web esqueceu de desabilitar as inscrições de novos usuários na API de cadastro, permitindo que qualquer pessoa se registrasse no sistema.
Sério… qual é o nível de burrice que é preciso ter para alcançar tal resultado?
Depois, foi encontrado um endpoint de inscrição via GraphQL que ignorava a verificação de e-mail e enviava a senha do usuário em texto simples, o que demonstrou um profundo “compromisso com práticas de segurança terríveis”.
Os hackers estavam sendo irônico quando escreveram isso.
Após a autenticação, os hackers conseguiram se promover ao status de administrador em toda a plataforma usando uma mutação do GraphQL chamada createToken, o que lhes concedeu acesso irrestrito.
Se fosse eu no lugar deles, encomendaria uma tonelada de lanches, e colocaria tudo na conta do administrador do sistema. Apenas e tão somente para que ele aprenda uma amarga lição para nunca mais esquecer.
Outro erro grave foi encontrado no site de pedidos de equipamentos da RBI, onde a senha para um sistema de pedidos de dispositivos de instalação automática estava codificada diretamente no código HTML da página.
As interfaces dos tablets do drive-thru também apresentavam uma falha semelhante, com a senha para acesso administrativo codificada como ‘admin’, permitindo o controle dos dispositivos por qualquer pessoa que a descobrisse.
Os hackers também descobriram que podiam acessar arquivos de áudio brutos de pedidos de clientes no drive-thru, que por vezes continham informações pessoais.
Apesar da divulgação responsável, a RBI não reconheceu o trabalho dos hackers. Porque deve ser difícil mesmo reconhecer uma falha de segurança tão humilhante quanto essa.
Você pode comer o seu lanche no Burguer King sem maiores problemas. Exceto é claro se em algum momento um atendente pediu os seus dados de cartão de crédito ou CPF durante o pedido de um milkshake de Ovomaltine.
E eu estou sendo bem específico nessa referência.
Via Tom’s Hardware