هکرهای اخلاقی BobDaHacker و BobTheShoplifter آسیبپذیریهای “فاجعهباری” را در پلتفرمهای Restaurant Brands International (RBI) کشف کردند. این پلتفرمها شامل برندهای بزرگی چون برگر کینگ، تیم هورتونز و پاپایز با بیش از 30,000 شعبه جهانی هستند که به دلیل ضعف شدید امنیتی، به راحتی قابل نفوذ بودند. هکرها وضعیت امنیتی را به “بستهبندی کاغذی وپر در باران” تشبیه کردند و توانستند به حسابهای کارمندان، سیستمهای سفارشگیری و مکالمات ضبط شده درایو-ثرو دسترسی یابند. نقصها شامل API ثبتنامی بدون تأیید ایمیل، ارسال رمزهای عبور به صورت متن ساده، و هاردکد شدن رمزهای عبور مهمی مانند ‘admin’ در HTML بود.
با وجود افشای مسئولانه این آسیبپذیریها و توانایی هکرها برای ارتقاء خود به وضعیت مدیر، RBI هرگز این تلاشها را به رسمیت نشناخت. وبلاگ BobDaHacker تأکید کرده است که هیچ داده مشتری در طول این تحقیق حفظ نشده است. این گزارش نمونهای بارز از شیوههای امنیتی ضعیف در شرکتهای بزرگ را به نمایش میگذارد.
- کولبات
- شهریور 16, 1404
