We Hacked Burger King: How Auth Bypass Led to Drive-Thru Audio Surveillance
8 months ago
- #vulnerabilities
- #privacy
- #cybersecurity
- 餐饮品牌国际(RBI)全球掌控超过30,000家门店,旗下包括汉堡王、Tim Hortons和Popeyes等品牌。
- 发现RBI的'助手'平台存在漏洞,可访问全球每家门店数据(含得来速对话记录)。
- 三个同源漏洞域名:assistant.bk.com、assistant.popeyes.com和assistant.timhortons.com。
- 注册API存在缺陷,未关闭用户注册功能,允许使用虚假凭证非法接入系统。
- GraphQL自检暴露可绕过邮箱验证的端点,且密码竟以明文形式通过邮件发送。
- 通过认证后可见全球门店目录,员工个人信息与店铺详情一览无遗。
- 发现无需认证的令牌生成接口(createToken),可获得跨平台管理员权限。
- 设备订购网站仅依赖前端密码保护,HTML中竟硬编码着密码。
- 用弱密码'admin'即可进入得来速控制界面(含主控屏与诊断页面)。
- 能篡改得来速音频参数,调取AI分析的顾客点餐原始录音文件。
- 卫生间评价系统及API未设防,可向任意门店发送垃圾评分。
- 管理员权限支持增删门店、管理员工账户、发送通知及查看销售数据。
- 隐私侵犯行为包括获取含个人信息的录音,可能违反GDPR法规。
- RBI迅速修复漏洞但拒绝就事件置评。
- 研究过程中未留存客户数据,并遵循了负责任的披露流程。