We hacked Burger King: How auth bypass led to drive-thru audio surveillance

Как мы взломали Burger King: обход аутентификации = прослушка драйв- thru

Старт
RBI (Burger King, Tim Hortons, Popeyes) управляет 30 000 точек через платформу «assistant». Уязвимости позволяли открыть любую из них и слушать разговоры у окна заказа.

Дыры

Регистрация без проверки почты: GraphQL-мутация signUp создавала аккаунт мгновенно; пароль присылали открытым текстом.
Список всех магазинов: инкрементный storeId + запрос getStore → персонал, конфиги, id.
createToken без авторизации: передал storeId – получил master-токен.
Повышение до админа: updateUser(roles: "admin") одной мутацией.
Сайт заказа оборудования: пароль «защищён» клиентским JS, сам пароль в HTML.
Планшеты в зале и драйв-thru:
- главный экран /screens/main?authToken=… – история разговоров с аудио;
- диагностика /screens/diagnostic – пароль admin, регулировка громкости и запись звука в реальном времени.

Итог
Одна уязвимая GraphQL-точка → полный контроль над глобальной сетью, персональными данными и живыми разговорами клиентов.

Комментарии (176)

Пост исследователя безопасности о дырах Burger King удалили после жалобы Cyble (YC-стартап) на «нарушение DMCA» — детали претензии не раскрыты.
Автор, похоже, следовал responsible disclosure: уведомил, дождался исправлений, но вознаграждения и ответа не получил.
Комментаторы обсуждают злоупотребление DMCA: при самостоятельном хостинге жалобу получит ISP, а Cloudflare сразу блокирует контент.
Критикуют чрезмерный сюрвейленс в драйв-су: запись разговоров без предупреждения, оценки туалетов, скрипты поведения для сотрудников на $6/час.
Уязвимости оказались «CTF-уровня»: пароль в открытом HTML, клиентская защита, слабые конфиги — всё «по-умолчанию».
Общий вывод: компании не платят за баги, карают публичность DMCA, поэтому white-hat не остаётся стимов, а инфраструктура остаётся швейцарским сыром.