Hackers breken met speels gemak in bij Burger King

In dit artikel:

Ethische hackers BobDaHacker en BobTheShoplifter ontdekten recent ernstige beveiligingslekken bij Restaurant Brands International (RBI) — het concern achter Burger King, Tim Hortons en Popeyes — die toegang gaven tot systemen van meer dan 30.000 vestigingen wereldwijd. Door een nog actieve aanmeld-API en via GraphQL-introspectie konden de onderzoekers e‑mailverificatie omzeilen en met een createToken-mutatie zichzelf tot beheerders promoten. Daardoor waren medewerkersaccounts te bekijken en te bewerken, winkel‑tablets en bestelinterfaces te besturen, bestellingen te plaatsen en berichten naar filialen te sturen.

Daarnaast vonden zij slecht beschermde credentials: een wachtwoord stond hardcoded in HTML op een apparatuurbestelsite en drive‑through‑tablets gebruikten simpelweg “admin”. De hackers hadden ook toegang tot ruwe audio-opnames van drive‑throughbestellingen, waarin soms persoonsgegevens voorkwamen — opnames die RBI gebruikt voor AI‑analyse van klanten en medewerkers. Verder troffen ze zelfs code voor toiletbeoordelingsschermen aan.

De twee volgden verantwoordelijke disclosureprocedures en lieten naar eigen zeggen geen klantgegevens achter, maar kregen volgens hun blog geen erkenning van RBI. De bevindingen benadrukken grote operationele en privacyrisico’s en roepen om urgente beveiligingsmaatregelen zoals het uitschakelen van test-registraties, het beschermen van API‑endpoints en het roteren van credentials. Ter afsluiting noteerden de onderzoekers nog licht spottend: “Wendy’s is better.”