Malwarebytes Labs ha fatto sapere che due hacker etici hanno scoperto enormi vulnerabilità di sicurezza all’interno delle piattaforme ospitate da Restaurant Brands International. Ciò significa che se i tuoi dati sono, per qualsivoglia motivo, nelle mani di Burger King, Popeyes o Tim Hortons sei in pericolo.
“La loro sicurezza era solida quanto un involucro di carta del Whopper sotto la pioggia“, hanno dichiarato gli hacker protagonisti della scoperta. “Ci siamo imbattuti in vulnerabilità così catastrofiche che potevamo accedere a ogni singolo punto vendita del loro impero globale“.
Continuando la loro dichiarazione, hanno spiegato: “Da un Burger King a Times Square a quel solitario Tim Hortons dove Bugs Bunny avrebbe dovuto girare a sinistra a Albuquerque. Ah, e abbiamo dimenticato di dire che potevamo ascoltare le vostre vere conversazioni al drive-thru? Sì, è successo anche quello“.
Dopo McDonald’s, anche Burger King dovrà affrontare soluzioni in grado di scongiurare ogni pericolo.
Le vulnerabilità di Burger King spiegate dagli esperti
Gli esperti di Malwarebytes Labs hanno spiegato in cosa consistono le vulnerabilità di Burger King, catena di fast food particolarmente conosciuta in Italia, ma anche di Popeyes e Tim Hortons. “I ricercatori affermano di aver scoperto che Restaurant Brands International utilizza AWS Cognito, ma ha dimenticato di disattivare le registrazioni degli utenti“.
Specifichiamo che AWS Cognito è un servizio che viene fornito da Amazon Web Services e che permette agli sviluppatori di gestire funzionalità come registrazione, accesso e controllo degli accessi degli utenti senza dover creare tutto da zero.
“I ricercatori affermano di aver scoperto che tre piattaforme di assistenza (i domini bk.com, popeyes.com e timhortons.com) erano tutte vulnerabili e avrebbero potuto consentire a un aggressore di: accedere alle registrazioni vocali degli ordini dei clienti, aggiungere/rimuovere/gestire negozi in franchising, visualizzare e modificare gli account dei dipendenti, accedere alle analisi del negozio e ai dati di vendita, caricare file e inviare notifiche ai sistemi di qualsiasi negozio oltre che utilizzare un sistema di ordinazione dei dispositivi autoinstallante (con la password codificata nell’HTML)“.
