Gigante de comida rápida expuesta después de que los piratas informáticos descubren contraseñas de administración, conversaciones filtradas y fallas catastróficas en Burger King, Tim Hortons y Popeyes
- Contraseñas con codificación dura La frágil infraestructura de seguridad de Burger King de Burger King en todo el mundo
- Los piratas informáticos accedieron a las cuentas de los empleados y las configuraciones internas con impactante facilidad
- Contraseñas de texto sencillo enviado por correo electrónico revelaron prácticas de ciberseguridad descuidadas
Restaurant Brands International (RBI), la empresa matriz de Burger King, Tim Hortons y Popeyes, ha sido llamado por fallas de seguridad evidentes.
Dos hackers éticos, conocidos como Bobdahacker y Bobtheshoplifter, revelaron recientemente cuán fácilmente obtuvieron acceso a sistemas críticos.
Sus hallazgos, ahora archivados después de que se sacó el blog original, pintan una imagen preocupante de la ciberseguridad de la comida rápida.
Contraseñas que cualquiera podría adivinar
Uno de los descubrimientos más sorprendentes fue una contraseña codificada en el HTML de un sitio web de pedidos de equipos.
Esto solo habría levantado banderas rojas, pero los problemas fueron más allá. En el sistema de tableta de transmisión, la contraseña era simplemente “administrador”.
Las credenciales débiles como estas suelen ser atrapadas incluso por las más básicas antivirus Verificaciones y auditorías del sistema.
Para una empresa global que cumple más de 30,000 puntos de venta, tales supervisión plantean serias dudas sobre cuán poca atención se prestó a las salvaguardas digitales.
Los piratas informáticos explicaron cómo accedieron a las cuentas de los empleados, las configuraciones internas e incluso las grabaciones de audio sin procesar de las conversaciones de entrada.
Esas grabaciones a veces contenían información personal a medida que los clientes ordenaban alimentos, que luego fueron procesados por AI Systems para evaluar tanto al personal como a los clientes.
Este acceso, aunque manejado de manera responsable por los piratas informáticos éticos, destaca lo que podría haber sucedido en las manos equivocadas.
La exposición también se extendió a rincones extraños del negocio. El equipo descubrió el código vinculado a las pantallas de calificación de baño del restaurante.
Aunque bromeó sobre dejar críticas falsas de casa, se apegaron a las prácticas de divulgación responsables.
Hicieron hincapié en que no se retuvieron los datos del cliente, pero el alcance de sus hallazgos muestra cuán abiertos fueron los sistemas.
Los hackers éticos describieron la seguridad de RBI como “catastrófica” y “sólida como un envoltorio de papel en la lluvia”.
Ese idioma puede ser irónico, pero los defectos eran reales.
Incluyeron una API que permitió a cualquiera registrarse sin restricciones y correos electrónicos de texto sencillo que contengan contraseñas.
El dúo incluso encontró formas de otorgarse acceso a administrador en todas las plataformas.
Estos son los problemas que básicos protección de ransomware y bien eliminación de malware Las políticas están destinadas a reducir.
Sin embargo, el informe muestra que los fundamentos de seguridad se pasaron por alto a un nivel corporativo, dejando en riesgo a todas las marcas asociadas.
Según los informes, RBI solucionó los problemas una vez informados, pero la compañía no reconoció públicamente a los piratas informáticos éticos.
Ese silencio deja abierta la cuestión de si las lecciones se aprenderán realmente o si esto fue tratado como un evento de parche y movimiento.
A través de Hardware Toms
