تعرضت Burger King والعلامات التجارية الأخرى لـ RBI للاختراق، وتم وصف الأمان بأنه ‘أكثر صلابة من غلاف ورق برغر ووبر’من الجدير بالذكر أن الصيغة المستخدمة في الجملة الأصلية لا تترجم بشكل جيد إلى العربية، ولذا تم تغييرها قليلاً لتناسب القارئ العربي.

اكتشف الهاكرز الأخلاقيون نقاط ضعف كارثية في الأمن السيبراني لأنظمة برجر كينغ وتيم هورتنز وبوبايز، مما أدى إلى تعرض حسابات الموظفين وتسجيلات الدرايف-ثرو وممارسات الأمن الضعيفة على مستوى العالم.

يدعي الهاكرز الأخلاقيون بوب دا هاكر وبوب ذا شوبليفتر أنهما كشفا عن ثغرات “كارثية” في الأنظمة التي تديرها شركة Restaurant Brands International (RBI)، وهي الشركة التي تقف خلف برجر كينغ وتيم هورتنز وبوبايز.

تعمل سلسلة الوجبات السريعة العالمية من خلال منصات مشتركة، التي حدد القراصنة أنها تعاني من ضعف أمني شديد، رغم أنها تدير 30،000 موقع. وصفت مدونة BobDaHacker إجراءات الأمن بأنها “صلبة مثل غلاف الوبر الورقي في المطر”، كما لاحظها Tom’s Hardware (TH) التي أعلنت عن هذه القصة أولا

أتاحت الثغرات الأمنية للقراصنة الوصول إلى حسابات الموظفين، وأنظمة الطلب، والاستماع إلى المحادثات المسجلة في محرك الأقراص. لم يتلق القراصنة الأخلاقيون أي رد من RBI بعد أن أبلغوا الشركة بشكل صحيح عن مشكلات الأمن، كما أوضحت TH.

كشفت الثغرات الأمنية المشتركة في منصات المساعدة للثلاثة علامات تجارية. تقارير TH تفيد بأن أي هاكر يمكنه الوصول إلى النظام يستطيع تعديل حسابات الموظفين، وإدارة أجهزة ومعدات المتاجر، وتوزيع التنبيهات على المواقع، وإجراء العديد من الأعمال الأخرى.

تم اكتشاف هذه الثغرات الأمنية من خلال مجموعة من تكوينات API الغير محكمة واستكشاف GraphQL. وقد وجد الهاكرز نقطة نهاية للتسجيل تتجاوز التحقق من البريد الإلكتروني، مما يكشف عن كلمات المرور بصيغة نصية عادية.

“لقد أثرنا بالالتزام بممارسات الأمن السيئة جداً،” كما كتبوا، حسبما ذكرته TH. باستخدام تحور GraphQL الذي يسمى createToken، كانوا يستطيعون “ترقية أنفسنا إلى حالة المدير العام عبر المنصة بأكملها.”

من الأخطاء الأمنية الإضافية المدرجة كانت كلمات السر المشفرة بقسوة على واجهات الأجهزة اللوحية للمتجر وأنظمة طلب المعدات، وأحياناً تم تعيينها ببساطة كـ ‘admin.’

تقرير TH يفيد بأن القراصنة تمكنوا من الوصول إلى التسجيلات الصوتية الكاملة غير المعالجة للطلبات من خلال النافذة الجانبية للسيارات، والتي تحتوي أحيانًا على معلومات شخصية. حصل القراصنة على الوصول إلى أنظمة شاشات تقييم الحمامات، ومع ذلك اختاروا عدم تعديلها.

أكد مدونة BobDaHacker أن “لم يتم الاحتفاظ بأي بيانات للعملاء خلال هذا البحث”، بعد اتباع ممارسات الإفصاح المسؤول، كما أفادت TH.

هذا التقرير الكاشف يسلط الضوء على المخاطر الخطيرة في سلاسل الوجبات السريعة الكبرى ويُشدد على أهمية ممارسات الأمن السيبراني القوية في المؤسسات العالمية.