道德黑客鲍勃大白客(BobDaHacker)与鲍勃顺手牵羊(BobTheShoplifter)详细披露了他们在餐饮品牌国际(Restaurant Brands International,简称RBI)旗下多个平台发现的“灾难级”安全漏洞。尽管RBI名称可能较为陌生,但其松懈的安全防护意味着支撑汉堡王(Burger King)、蒂姆霍顿(Tim Hortons)和Popeyes等全球超3万家门店的系統几乎不堪一击。“他们的安全防护就像雨中的纸质皇堡包装纸一样脆弱”,BobDaHacker博客在公布完整技术报告时讽刺道(该博客已被关闭,但存档于此)。
这些漏洞的危害程度极为严重——包括允许入侵者访问员工账户、点餐系统、窃听得来速对话录音等多项权限。尽管道德黑客团队已遵循负责任披露原则向RBI通报漏洞,但始终未获得官方确认。
RBI的漏洞规模令人震惊
研究人员发现旗下三大快餐品牌的辅助平台域名均存在相同漏洞,可影响全球所有门店。一旦侵入系统,黑客能够:
查看和编辑员工账户
窃听得来速顾客对话录音
访问并控制门店平板界面
订购门店设备(如平板电脑)
向门店发送通知
漏洞发现过程
根据技术报告,漏洞挖掘过程异常简单:首先利用“人人可加入”的注册API(因开发团队忘记禁用用户注册功能),继而通过GraphQL自省发现完全绕过邮箱验证的注册端口。更令人咋舌的是系统竟以明文方式发送密码,研究人员称其“对糟糕安全实践的执着令人印象深刻”。
获得认证后,白帽黑客进一步获取了门店员工个人信息、内部ID、配置细节等敏感数据。通过名为createToken的GraphQL变异操作,他们甚至能“将自己提升为全平台管理员权限”。
HTML内硬编码密码
安全疏漏远未结束:在RBI设备订购网站中,研究人员发现自助安装设备订购系统的密码直接被硬编码在HTML中。门店得来速平板界面虽设有密码保护,但密码同样被硬编码为“admin”。
更令人担忧的是,黑客能够访问得来速顾客点餐的原始音频文件(部分包含个人身份信息),这些录音正被RBI用于基于人工智能的客户与员工指标分析系统。
虽然研究人员曾调侃“穿着睡衣在俄亥俄州给东京门店卫生间打五星好评”的可能性,但作为坚守原则的白帽黑客,此类操作并未发生。报告强调“研究过程中未保留任何客户数据”,且全程遵循负责任披露协议。不过其结尾调侃“温迪汉堡(Wendy's)更胜一筹”的宣言,令人不禁联想是否与近期经历有关。
