7
バーガーキングがハッキングされ、攻撃者は「ひどいセキュリティ対策への取り組みに感銘を受けた」 ― システムは「雨の中のワッパーの紙の包み紙のように頑丈」と評され、ティムホートンズやポパイズなどのRBIブランドも脆弱である
バーガーキングの店舗
(画像提供:Facebookのバーガーキング)

倫理ハッカーのBobDaHacker氏とBobTheShoplifter氏は、レストラン・ブランド・インターナショナル(RBI)がホストする複数のプラットフォームに「壊滅的な」脆弱性を発見したと主張しています。RBIはあまり馴染みのない名前かもしれませんが、この緩いセキュリティ対策は、世界中に3万店舗以上を展開するバーガーキング、ティムホートンズ、ポパイズといった大手ブランドのシステムが、ほとんど簡単にハッキングされることを意味します。「彼らのセキュリティは、雨に濡れたワッパーの紙の包み紙と同じくらい堅固だった」と、BobDaHackerのブログは、技術的な暴露全文を掲載しながら皮肉を込めて述べています(ブログはその後削除されましたが、こちらにアーカイブされています)。

バーガーキングで重大な脆弱性が発見される

(画像提供:BobDaHackerとBobTheShoplifter)

RBIの脆弱性はとてつもなく大きかった

冒頭で3大ファストフードブランドについて触れましたが、2人のボブは、これらの3社のアシスタントプラットフォームのドメインすべてに共通の脆弱性があることを発見しました。ドメインはhttps://assistant.bk.com、https://assistant.popeyes.com、https://assistant.timhortons.comで、いずれもグループが世界3万か所以上展開する拠点で容易に悪用される可能性がありました。システムに侵入すれば、ハッカーは簡単に以下の操作を実行できます。

  • 従業員アカウントの表示と編集
  • ドライブスルーの顧客とのチャット録音を聞く
  • 店舗のタブレットインターフェースへのアクセスと制御
  • タブレットなどの店舗設備​​を注文する
  • 店舗に通知を送信する
  • その他

脆弱性が発見された経緯

BobDaHackerのブログは、多数のセキュリティホールの発見をまるで些細なことのように見せかけています。まず、「誰でもこのパーティーに参加できる」サインアップAPIは、Web開発チームが「ユーザーサインアップを無効にするのを忘れていた」ため、誰でも参加できてしまったと主張されています。

その後、GraphQLイントロスペクションを用いて、「メール認証を完全に回避する、さらに簡単なサインアップエンドポイント」が発見されました。その結果、パスワードが平文で記載されたメールが届き、2人のボブは「セキュリティ対策の徹底ぶりに感銘を受けた」とのことです。

認証後、ホワイトハットハッカーは店舗従業員の個人情報、内部ID、設定の詳細などを明らかにすることに成功しました。さらに、createTokenと呼ばれるGraphQLのミューテーションにより、(ありがたいことに)倫理的な理由から「プラットフォーム全体で管理者権限を昇格」することができました。

HTMLにハードコードされたパスワード

RBIのセキュリティエラーのカタログはこれで終わりではありませんでした。RBIの機器注文ウェブサイトにちょっと立ち寄ったところ、パスワードがHTMLにハードコードされたセルフインストール型デバイス注文システムが見つかりました。

Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。

同様のセキュリティ上の欠陥が、店舗のドライブスルータブレットのインターフェースにも見つかりました。パスワード保護は施されていましたが、2人のボブの姿を見ると、これも「admin」としてハードコードされていたことがわかります。一体誰がそんなことを予想できたでしょうか?

パスワードはadminです

(画像提供:BobDaHackerとBobTheShoplifter)

この脆弱なケーキに、もう一つの危ういチェリーが加わった。倫理的なハッカーたちは、アウトレットのドライブスルーで食事を注文する人々の生の音声ファイル全体にアクセスできることを発見したのだ。その音声には個人を特定できる情報が含まれていることもあった。興味深いことに、RBIはこれらの録音をAIベースのシステムに送り、顧客と従業員の指標を評価している。

ハッカーたちはレストランチェーンのトイレ評価画面のコードを発見し、事態はそれで終わりませんでした。「オハイオ州でパジャマ姿のまま、東京のトイレに5つ星の評価をつける」というアイデアを思いついたようですが、当然ながらホワイトハットのハッカーたちはそんなことはしませんでした。

最後に、BobDaHackerのブログは「この調査中、顧客データは保持されなかった」と主張しており、プロセス全体を通して責任ある開示プロトコルが遵守されているとしています。しかし、これらの最近の経験が、彼らの「ウェンディーズの方が優れている」という生意気な主張に影響を与えたのではないかと疑問に思います。

Tom's HardwareをGoogleニュースでフォローするか、お気に入りの情報源として追加して、最新のニュース、分析、レビューをフィードで受信しましょう。「フォロー」ボタンを忘れずにクリックしてください!

マーク・タイソンはトムズ・ハードウェアのニュース編集者です。ビジネスや半導体設計から、理性の限界に迫る製品まで、PCテクノロジーのあらゆる分野を網羅的にカバーすることに情熱を注いでいます。

Features
Posted by Lorlink