Hacker News Digest

Как мы взломали Burger King: обход аутентификации = прослушка драйв- thru

Старт
RBI (Burger King, Tim Hortons, Popeyes) управляет 30 000 точек через платформу «assistant». Уязвимости позволяли открыть любую из них и слушать разговоры у окна заказа.

Дыры

1. Регистрация без проверки почты: GraphQL-мутация signUp создавала аккаунт мгновенно; пароль присылали открытым текстом.
2. Список всех магазинов: инкрементный storeId + запрос getStore → персонал, конфиги, id.
3. createToken без авторизации: передал storeId – получил master-токен.
4. Повышение до админа: updateUser(roles: "admin") одной мутацией.
5. Сайт заказа оборудования: пароль «защищён» клиентским JS, сам пароль в HTML.
6. Планшеты в зале и драйв-thru:
   • главный экран /screens/main?authToken=… – история разговоров с аудио;
   • диагностика /screens/diagnostic – пароль admin, регулировка громкости и запись звука в реальном времени.

Итог
Одна уязвимая GraphQL-точка → полный контроль над глобальной сетью, персональными данными и живыми разговорами клиентов.

• Пост исследователя безопасности о дырах Burger King удалили после жалобы Cyble (YC-стартап) на «нарушение DMCA» — детали претензии не раскрыты.
• Автор, похоже, следовал responsible disclosure: уведомил, дождался исправлений, но вознаграждения и ответа не получил.
• Комментаторы обсуждают злоупотребление DMCA: при самостоятельном хостинге жалобу получит ISP, а Cloudflare сразу блокирует контент.
• Критикуют чрезмерный сюрвейленс в драйв-су: запись разговоров без предупреждения, оценки туалетов, скрипты поведения для сотрудников на $6/час.
• Уязвимости оказались «CTF-уровня»: пароль в открытом HTML, клиентская защита, слабые конфиги — всё «по-умолчанию».
• Общий вывод: компании не платят за баги, карают публичность DMCA, поэтому white-hat не остаётся стимов, а инфраструктура остаётся швейцарским сыром.

Суть дела
Правообладатель фильма Fall получил по §512(h) DMCA «быстрый» судебный ордер, чтобы заставить провайдера Cox раскрыть личности 29 подписчиков, якобы распространявших фильм через BitTorrent. Cox уведомил абонентов; один из них оспорил требование.

Позиция суда 9-го округа

• §512(h) позволяет выдавать повести только «сервис-провайдерам» по §512(c) и §512(b), то есть хостингам и поисковикам.
• Провайдеры доступа к интернету (IAP) подпадают под §512(a), который не предусматривает процедуру «уведомить-и-удалить», поэтому IAP не обязаны отвечать на такие subpoenas.
• Решение: Cox не обязан раскрывать данные по §512(h).

Контекст

• BitTorrent не вписывается в классическую схему DMCA: файл разбит на части у множества пользователей, поэтому требование «удалить» неприменимо.
• IAP рискуют лишиться «безопасной гавани», если не отключают «хронических нарушителей», но отключение от интернета — более жёсткая мера, чем удаление страницы.
• Вопрос о балансе между правами правообладателей и абонентами вскоре рассмотрит Верховный суд в деле Cox v. Sony.

• Решение суда 9-го округа лишь освобождает ISP от обязанности разглашать данные, но не запрещает это делать.
• Если в TOS прописано право передавать информацию по запросу или по своему усмотрению, у абонента мало шанов оспорить это в суде.
• Единственный реальный способ — подать иск самому абоненту или обратиться в прокуратуру штата.
• Игнорировать судебные повестки нельзя: нужно юридически оспаривать их, иначе — риск уголовного преследования.
• В США пока нет федерального закона, который бы прямо запрещал ISP добровольно продавать или передавать данные абонентов.