Burger King, bir güvenlik araştırmacının blog yayınının yeni sürücü “asistanı” sisteminde ciddi güvenlik açıklarını açıklayan blog yayınının kaldırılmasını zorlamak için Dijital Binyıl Telif Hakkı Yasasını çağırdı.
Etik hacker Bobdahacker, saldırganların kimlik doğrulamasını nasıl atlayabileceğini, müşteri siparişlerini dinleyebileceğini ve bir yayından kaldırma bildirimi içeriği çevrimdışı almadan önce çalışan kayıtlarına nasıl erişebileceğini gösteren bir rapor yayınladı.
Güvenlik araştırması ve sorumlu açıklama
Cumartesi günü, Bobdahacker, AWS Cognito üzerine kurulan hala beta içi yardımcı platformdaki zayıflıkları detaylandıran “Burger King’i hackledik” başlıklı bir blog yazısı yayınladı.
Sistem, kullanıcı kaydı devre dışı bırakılmadığı ve e -posta yoluyla düz metin olarak bir şifre aldığı için kimsenin yeni bir kullanıcı olarak kaydolmasına izin verdi.
Bu hesapla Bobdahacker, çalışan profilleri ve dahili ekipman siparişleri de dahil olmak üzere sistemi kullanarak her mağazada veri görme ve değiştirme yeteneği gösterdi.
Gizli bir GraphQL mutasyonu, araştırmacının herhangi bir kullanıcıyı yöneticiye tanıtmasına izin verdi, mağaza listeleri, bildirimler ve daha fazlası üzerinde tam kontrol verdi.
Bobdahacker, kusurların keşiften sadece bir saat sonra Restoran Brands International’a (RBI) bildirildiğini söyledi.
RBI, aynı gün güvenlik açıklarını derhal yamaladı. Araştırmacı, müşteri verilerinin korunmadığını ve sorumlu açıklama protokollerinin izlendiğini doğruladı.
Swift düzeltmesine rağmen, tehdit istihbarat şirketi Cyble, Bobdahacker’a “Burger King” ticari markasının yetkisiz kullanımını iddia eden ve blogu yasadışı faaliyetleri teşvik etmekle suçladığını iddia eden bir DMCA bildirimi gönderdi.
Bildirim, blogun halkı Burger King tarafından onaylandığını düşünmeye karışabileceğini ve içeriğin şirketin şerefiyesine zarar verdiğini savundu. Hem RBI hem de Cyble yayından kaldırma isteği hakkında yorum yapmayı reddetti.
Bobdahacker’ın raporu, blogun kaldırılmasından 48 saatten daha kısa bir süre önce yaşıyordu. Arşivlenmiş bir kopya çevrimiçi olarak kalır ve siber güvenlik uzmanları, bilgileri bastırma girişimlerinin sadece daha fazla dikkat çektiği Streisand etkisini vurgulamak için sosyal platformlardaki bulguları yeniden yayınladılar.
Arşivlenmiş rapora göre, yardımcı platform, sürüş konuşmalarının ses kayıtlarını korudu ve çalışanların dostu olmasını, bekleme sürelerini ve başarılı başarısını puanlamak için bir AI motoru aracılığıyla işledi.
Saldırganlar, müşteri siparişlerini potansiyel olarak dinleyerek ses kliplerini tekrarlayabilir. Araştırmacı ayrıca, başlangıç kitleri talep etmek için franchise sahipleri tarafından kullanılan bir ekipman siparişi portalının istemci tarafı HTML’sinde sabit kodlanmış bir şifre ortaya çıkardı.
Bir Burger King sözcüsü, Information Security Media Group’a test platformunun müşteri verilerini uzun vadede saklamadığını ve yalnızca birkaç hafta boyunca toplu bilgileri sakladığını söyledi.
Programın sipariş doğruluğunu ve ekipman durumunu izleyerek “ekip üyelerinin daha iyi bir konuk deneyimi sunmalarına yardımcı olmayı” amaçladığını vurguladılar.
Büyük zincirler giderek daha fazla AI güdümlü sesli asistanları benimsediğinden, bu olay, özellikle beta testi sırasında kimlik doğrulama akışlarını kilitlemenin ve hassas ses verilerinin korunmasının öneminin altını çizmektedir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.