Kusurları özel olarak bildiren araştırmacı yasal tehdit alır
Mathew J. Schwartz (Euroinfosec) •
8 Eylül 2025
Burger King, bir güvenlik araştırmacısını, bilgisayar korsanlarının sürücü siparişlerinde uzaktan dinlendirmesine ve çalışanların kişisel bilgilerine erişmesine izin veren güvenlik kusurlarını detaylandıran bir blog gönderisine zorlayarak çevrimiçi yolunu almak istiyor.
Ayrıca bakınız: Ondemand | Eşsiz keşif ve savunma ile API güvenliğini dönüştürün
Kendi kendini tanımlayan etik hacker “Bobdahacker” Cumartesi günü Toronto merkezli restoran markaları tarafından kullanılan “asistan” sistemindeki kimlik doğrulama bypass ve diğer güvenlik açıklarını açıklayan bir blog yazısı yayınladı.
“Asistan” sisteminin RBI markaları arasında konuşlandırıldığını söyledi.
Araştırmacı, tehdit Intel firması Cyble tarafından iletilen bir telif hakkı ihlali bildirimi aldıklarını söyleyene kadar “Burger King’i hackledik” başlıklı blog yazısı 48 saatten daha kısa bir süredir kaldı. Bobdahacker, “Şikayetleri özellikle ‘Burger King’ ticari markasını kullanmamızın yetkisiz olduğunu ve kamu arasında bir şekilde müşterimizle/veya müşterimizle bağlantılı olarak onaylandığı ‘kamu arasında yüksek derecede karışıklık yarattığını belirtmektedir’ ‘dedi.
“Bildirim, güvenlik araştırma içeriğimizin ‘yasadışı faaliyetleri teşvik ettiğini ve yanlış bilgileri yaydığını’ ve bu tür faaliyetlerin ‘müşterilerinin iyi niyet ve itibarına zararlı olduğunu ve’ brüt haksız rekabet altında yasada eyleme geçirilebilir ‘olduğunu iddia ediyor.”
RBI ve Cyble yorum talebine hemen yanıt vermedi. RBI, yıllık satışlarda 45 milyar dolar ile küresel olarak 30.000 restoran işleten halka açık çokuluslu bir çokulusludur.
Bobdahacker, araştırmaları yoluyla karşılaşılmayan hiçbir müşteri verisinin korunmadığını ve “sorumlu açıklama protokollerinin takip edildiğini” söyledi. Hacker, keşiflerinden bir saat sonra RBI’ye yardımcı kusurları bildirdiklerini söyledi. Aynı gün, RBI güvenlik açıklarını düzeltti – ve Cyble kısa sürede ABD Dijital Binyıl Telif Hakkı Yasası uyarınca bir yayından kaldırma talebi gönderdi ve araştırmacının RBI’nın ticari markasını ihlal ettiğini ve yasadışı faaliyetleri teşvik ettiğini iddia etti. Cyble, müşterilere bir hizmet olarak “marka koruması” nı tanıtmaktadır.
Araştırmacının raporlarının neden artık çevrimiçi olmadığını bildirmesine yanıt olarak, çoklu siber güvenlik profesyonelleri, araştırmanın arşivlenmiş kopyalarını ve Barbra Streisand’ın fotoğraflarını yayınlamak için sosyal platform Mastodon’a gitti ve bir şey hakkında kamuoyu bilgisini bastırma girişimlerinin çok daha yaygın bir şekilde yayılmasına ve bilinmesine yol açtı.
Güvenlik eksikliklerinin listesi
Bobdahacker’ın araştırması, Amazon Web Services tarafından oluşturulan bir web ve mobil uygulama platformu olan AWS Cognito üzerine RBI’nin sürüş sisteminin nasıl kurulduğunu detaylandırıyor. “İyi haber? Sistem tam olarak tasarlandığı gibi çalıştı,” dedi Bobdahacker şimdi silinmiş raporda. “Kötü haber mi? Kullanıcı kayıtlarını devre dışı bırakmayı unuttular. Oops.”
Bobdahacker, sistemin yeni bir kullanıcı oluşturmak için kandırılabileceğini, daha sonra kullanıcıya düz metin olarak bir şifre e -postayla gönderebileceğini ve daha sonra Bobdahacker’ın RBI sistemine eriştiğini ve daha fazla kimlik doğrulaması gerektirmeden sistemi kullanan herhangi bir mağazaya ilişkin bilgilere erişim sağladığını buldu. Araştırmacı ayrıca, tüm platform boyunca yöneticileri tanıtmalarına izin veren, mağazaları eklemelerine veya kaldırmalarına, çalışan hesaplarını görüntülemelerine ve düzenlemelerine, sürüşe ve banyo besleme tabletlerine bildirimler göndermelerine izin veren bir grafik mutasyonu buldu.
Sistem ayrıca, şifre korumalı olan ancak istemci tarafındaki HTML’de sabit kodlanmış bir şifre kullanarak RBI’nin Ekipman Siparişi web sitesine erişmelerini sağladı. Araştırmacı ayrıca, restoranın içine yüklemek için bir ses kutusu içeren bir sürüş başlatıcı paketi sipariş etmek için bir sayfa franchise sahiplerinin yanı sıra, sürüş siparişleri için satış noktası sisteminin yanına monte etmek için bir tablet bulundu.
Bobdahacker, sesin depolandığını ve tekrarlanabileceğini söyledi. Araştırmacı tarafından son derece sıradan tarafından gönderilen ses etkileşimi transkriptleri.
—Yal verdiğiniz Burger King’e katılın. Senin için ne başlayabilirim?
– muazzam börek alabilir miyim?
-Üzgünüm?
– muazzam börek.
– muazzam burrito mu?
-Evet.
—Ok, bir saniye tut.
Araştırmacı, gösterge panelinin ayrıca, bir çalışanın “dostluk” puanını ölçmek için tasarlanmış bir yapay zeka sisteminden geçtiğine dayanan bilgiler bildirdiğini söyledi. AI sistemi ayrıca bir çalışanın diğer müşterileri ne kadar beklettiğini, müşterileri değiştirmeye çalıştıkları ve başarılı olduklarını – nasıl da dahil olmak üzere – ve her müşteri etkileşimini “Kural” ifadesiyle açıp açmadıklarını değerlendirdi.
İddia edildiği gibi, RBI’nin asistan uygulamasını inşa edenlerin güvenlik akıllıları yönetmedi.