Siber güvenlik dünyasında şok etkisi yaratan bir gelişme yaşandı. İki etik hacker, Restaurant Brands International (RBI) bünyesindeki Burger King, Tim Hortons ve Popeyes gibi dünya çapında 30 binden fazla şubeye sahip dev markaların sistemlerinde 'yıkıcı' güvenlik açıklarını ortaya çıkardıklarını duyurdu. Sektörde 'BobDaHacker' ve 'BobTheShoplifter' olarak tanınan ikili, bu büyük markaların sistemlerine sızmanın şaşırtıcı derecede kolay olduğunu belirtti.
Siber güvenlik zafiyetlerinin detaylarını açıklayan blog yazısında, RBI'nin güvenlik önlemlerinin yağmurda ıslanmış bir Whopper paketinin dayanıklılığına benzetilmesi dikkat çekti. Bu güvenlik açıkları sayesinde, çalışan hesaplarına erişim, sipariş sistemlerinin kontrolü ve hatta restoranlardaki araç içi sipariş konuşmalarının dinlenmesi gibi ciddi istismarlar mümkün hale gelmiş. Etik hackerlar, sorumlu bir şekilde RBI'yi bu açıkları bildirmelerine rağmen herhangi bir geri dönüş alamadıklarını ifade ettiler.
RBI Sistemlerindeki Şok Eden Açıklar
Hackerlar, Burger King, Popeyes ve Tim Hortons'ın alt sistem platformlarının (assistant.bk.com, assistant.popeyes.com ve assistant.timhortons.com) aynı güvenlik açıklarına sahip olduğunu tespit etti. Bu açıklar, dünya genelindeki 30 binden fazla şubeyi etkileyebilecek nitelikteydi. Sisteme giren bir saldırgan şunları yapabiliyordu:
- Çalışan hesaplarını görüntüleme ve düzenleme
- Araç içi sipariş konuşmalarını dinleme
- Restoran tablet arayüzlerine erişme ve kontrol etme
- Tablet gibi restoran ekipmanlarını sipariş etme
- Restoranlara bildirim gönderme
- Ve çok daha fazlası
Açıklar Nasıl Ortaya Çıkarıldı?
Hackerlar tarafından yapılan açıklamaya göre, güvenlik açıklarının keşfi oldukça basitti. 'Herkes Bu Partiye Katılabilir' sloganıyla tanıtılan bir kayıt API'sinin, web geliştirme ekibinin kullanıcı kayıtlarını devre dışı bırakmayı unutması nedeniyle herkesin erişimine açık olduğu iddia edildi. Daha sonra, GraphQL ile yapılan incelemelerde, e-posta doğrulamasını tamamen devre dışı bırakan daha da kolay bir kayıt yöntemi keşfedildi. Bu yöntemde şifrenin düz metin olarak gönderilmesi, hackerları RBI'nin 'kötü güvenlik uygulamalarına olan bağlılığına' hayran bıraktı.
Kimlik doğrulamasının ardından, etik hackerlar restoran çalışanlarının kişisel bilgilerine, dahili kimliklere ve yapılandırma detaylarına ulaştı. Ayrıca, 'createToken' adlı bir GraphQL komutu sayesinde, hackerlar kendilerini platform genelinde 'yönetici' statüsüne yükseltebildiler.
Şifreler HTML İçine Gizlenmiş!
RBI'nin güvenlik hataları bunlarla sınırlı kalmadı. Şirketin ekipman sipariş web sitesinde, şifrenin HTML koduna gömülü olduğu bir sistem keşfedildi. Benzer bir güvenlik hatası, restoranlardaki araç içi sipariş tabletlerinde de tespit edildi. Bu tabletlerin şifre koruması olmasına rağmen, şifrenin 'admin' olarak kodlandığı anlaşıldı.
Ek olarak, hackerlar, araç içi sipariş noktalarındaki müşterilerin ses kayıtlarına tam erişim sağladı. Bu ses kayıtlarında bazen kişisel bilgilerin de yer aldığı belirtildi. İlginç bir şekilde, RBI bu kayıtları müşteri ve çalışan performansını ölçmek için yapay zeka sistemlerine aktarıyor. Hatta hackerlar, restoranların tuvalet değerlendirme ekranlarının kodlarına da ulaştı. Hackerlar, sorumlu bir şekilde hareket ederek müşteri verilerini kaydetmediklerini ve tüm süreci sorumlu açıklama protokollerine uygun yürüttüklerini vurguladılar. Son olarak, bu deneyimlerinin ardından, bir şaka olarak 'Wendy's daha iyi' yorumunu yaptıkları belirtildi.
