İki etik hacker, Restaurant Brands International (RBI) tarafından düzenlenen platformlarda büyük güvenlik açıklarını ortaya çıkardıklarını söylüyor.
RBI, dünyanın en büyük hızlı servis restoran şirketlerinden biridir. 2014 yılında Amerikan fast food zinciri Burger King ve Kanada kahve ve restoran zinciri Tim Hortons’un 12,5 milyar dolarlık birleşmesi ile kuruldu. O zamandan beri, RBI marka portföyünü 2017’de satın alınan Popeyes Louisiana Kitchen ve Firehouse Subs’u içerecek şekilde genişletti. 120’den fazla ülke ve bölgede 32.000’den fazla restorandan oluşan küresel bir ağ işletmektedir.
Güvenliği inceleyen iki araştırmacı etkilenmekten çok uzaktı. Onların, şimdi kaldırılmış ancak arşivlenmiş blog belirtileri:
“Güvenlikleri yağmurda kağıt bir sarıcı kadar sağlamdı.
Küresel imparatorluklarındaki her mağazaya erişebileceğimiz için o kadar felakete sahip olan güvenlik açıklarına rastladık. Times Meydanı’ndaki bir burger kralından, Bugs Bunny’nin Albuquerque’de sola döndüğü yalnız Tim Hortons’a kadar. Oh, ve gerçek sürüş konuşmalarınızı dinleyebileceğimizden bahsettik mi? Evet, bu da oldu. “
Araştırmacılar, RBI’nin AWS Cognito kullandığını ancak kullanıcı kayıtlarını kapatmayı unuttuğunu bulduklarını söylüyorlar. AWS Cognito, geliştiricilerin bu özellikleri sıfırdan oluşturmadan kullanıcı kayıtlarını, imzalamalarını ve erişim kontrolünü ele almasına yardımcı olan Amazon Web Services’ten yönetilen bir hizmettir.
Kullanıcı kayıtlarını devre dışı bırakmak, yalnızca yetkili personelin BT yöneticileri tarafından merkezi olarak oluşturulabilen ve yönetilebilecek hesap almasını sağlamak için önemlidir. Bu yaklaşım, hassas iç kaynak ve hizmetleri korumak için kritik olan açık kendi kendine kayıt ve yetkisiz hesap oluşturma engelleyerek saldırı yüzeyini azaltır. Yöneticiler daha sonra Cognito aracılığıyla yönetilen uygulamalara kullanıcı erişimini sağlamadan önce hesapları doğrulayabilir ve onaylayabilir.
Bu ağ geçidinden geçtikten sonra, araştırmacılar kendilerini beladan kurtarabileceklerini fark ettiklerini, çünkü e -posta doğrulamasını tamamen atlayan daha kolay bir kayıt uç noktası bulduklarını ve parolayı düz metinde bir e -postayla sonuçladıklarını söylediler.
Araştırmacılar, üç yardımcı platformun (Domains BK.com, Popeyes.com ve Timhortons.com) savunmasız olduğunu ve bir saldırganın şunları sağlayabileceğini bulduklarını söylüyorlar:
- Müşteri siparişlerinin ses kayıtlarına erişin
- Franchise mağazalarını ekleyin/kaldır/yönetin
- Çalışan Hesaplarını Görüntüle ve Düzenle
- Mağaza Analytics ve Satış Verilerine Erişim
- Dosya yükleyin ve herhangi bir mağazanın sistemine bildirim gönder
- Bir kendi kendine yükleme aygıt sipariş sistemi kullanın (HTML’ye sert kodlanmış şifre ile)
Ayrıca, müşteri siparişlerinin ses kayıtlarının, gıda siparişi veren gerçek kişilerin ham ses dosyalarının, arka plan konuşmaları, araba radyoları ve bazen kişisel olarak tanımlanabilir bilgiler (PII) ‘nin şunları analiz etmek için bir AI’ya beslendiğini bulduklarını söylüyorlar:
- Müşteri Duygu
- Çalışan Dostluk Seviyeleri
- Başarı Oranları
- Sipariş İşleme Süreleri
- Kaç kez çalışanlar “siz kural” dedi (çünkü bu kesinlikle çok önemli bir iş metriği)
Bu hikaye ile ilgili tek iyi şey, araştırmacıların bir gün içinde tüm bu güvenlik açıklarını bulmasına rağmen, RBI’nın aynı gün onları düzeltmesidir. Ancak görünüşe göre araştırmacıları kabul etmeden veya güvenlik açıkları hakkında yorum yapmadan.
Bu veya başka bir veri ihlaline dahil olduysanız, lütfen okuyun: Bir veri ihlali ile ilgili? İşte bilmeniz gerekenler.
Daha fazla kişisel bilgiyi paylaşmayın. Ek kişisel bilgileri, maruz kalan bilgilerinizle bağlantılı olabilecek sosyal medyada veya çevrimiçi dizinlerde herkese açık olarak paylaşmaktan kaçının. Ücretsiz dijital ayak izi tarayıcımızı kullanarak sizinle ilgili hangi bilgilerin zaten orada olduğunu kontrol edebilirsiniz.
Sadece tehditler hakkında rapor vermiyoruz, tüm dijital kimliğinizi korumaya yardımcı oluyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. Kimlik korumasını kullanarak kişisel bilgilerinizi ve ailenizin kişisel bilgilerini koruyun.