Thought Leadership
Über 30.000 Filialen der Restaurant Brands International (RBI) – zu der Burger King, Tim Hortons und Popeyes gehören – waren durch Schwachstellen angreifbar. Das kanadische Unternehmen reagierte zwar schnell, ignorierte aber die Hinweisgeber.
Zwei IT-Sicherheitsforscher, die unter den Pseudonymen “BobDaHacker” und “BobTheShoplifter” operieren, haben schwerwiegende Sicherheitsmängel in der IT-Infrastruktur von Restaurant Brands International (RBI) dokumentiert. Betroffen waren die digitalen Systeme mehrerer Marken des Konzerns, darunter Burger King, Tim Hortons und Popeyes mit weltweit mehr als 30.000 Standorten. „Ihre Sicherheit war ungefähr so solide wie eine Whopper-Verpackung aus Papier im Regen“, spottet BobDaHacker auf dem eigenen Blog.
Mehrere Plattformen mit identischen Schwachstellen
Die Analyse der Forscher konzentrierte sich auf drei zentrale Domains: assistant.bk.com, assistant.popeyes.com und assistant.timhortons.com. Alle wiesen identische Sicherheitsprobleme auf, die Angreifern umfassenden Zugriff ermöglicht hätten. Die möglichen Angriffsvektoren umfassten: Vollzugriff auf Mitarbeiterdatenbanken, Abhören von Drive-Through-Aufzeichnungen, Manipulation der Filial-Tablet-Systeme, Bestellung von Hardware über interne Systeme, Versendung gefälschter Benachrichtigungen an Filialen: “Wir stießen auf Schwachstellen, die so katastrophal waren, dass wir auf jeden einzelnen Laden ihres globalen Imperiums zugreifen konnten”, schreiben die White-Hat-Hacker.
Registrierung ohne Verifizierung möglich
Den Ausgangspunkt bildete eine ungesicherte Anmelde-API, bei der offenbar die Nutzerregistrierung nie ordnungsgemäß deaktiviert wurde. Mittels GraphQL-Introspection entdeckten die Forscher zudem einen alternativen Registrierungsweg, der sämtliche E-Mail-Verifizierungsschritte umging.
Das System versendete Passwörter unverschlüsselt per E-Mail – ein Verstoß gegen grundlegende Sicherheitsstandards. Nach erfolgreicher Anmeldung erhielten die Forscher Zugang zu sensiblen Mitarbeiterdaten, internen Kennungen und Systemkonfigurationen.
Über eine GraphQL-Mutation namens “createToken” gelang es ihnen schließlich, sich systemweit Administrator-Rechte zu verschaffen.
Hardcodierte Passwörter in mehreren Systemen
Die Sicherheitsprobleme beschränkten sich nicht auf die Hauptplattform. Bei der Equipment-Bestellseite des Konzerns fanden die Forscher ein Self-Service-System mit einem direkt im HTML-Code hinterlegten Passwort. Ähnliche Mängel zeigten sich bei den Tablet-Systemen in den Drive-Through-Bereichen: Auch hier war das Standard-Passwort “admin” fest im Code verankert.
Audio-Aufzeichnungen ungeschützt zugänglich
Einen besonders kritischen Befund stellten ungesicherte Audio-Dateien von Drive-Through-Bestellungen dar. Diese Aufzeichnungen, die teilweise personenbezogene Daten enthielten, waren für die Forscher frei einsehbar. RBI nutzt diese Audiodaten nach eigenen Angaben für KI-gestützte Analysen von Kunden- und Mitarbeiterverhalten.
Responsible Disclosure ohne Anerkennung
BobDaHacker und BobTheShoplifter betonten, während ihrer Recherche keine Kundendaten gespeichert und alle Erkenntnisse nach den Prinzipien der “Responsible Disclosure” an RBI weitergeleitet zu haben. Eine offizielle Würdigung ihrer Arbeit blieb jedoch aus. Im Gegenteil: Der Forschungsbericht kam bei den Verantwortlichen offenbar nicht sehr gut an: “Wir haben eine DMCA-Beschwerde wegen Urheberrechtsverletzung von Cyble Inc. erhalten, die im Namen von Burger King handelt, bezüglich unseres Blogbeitrags über die Sicherheitslücken im Drive-Thru-System von Restaurant Brands International. Die Beschwerde wirft eine Markenrechtsverletzung vor und behauptet, dass der Inhalt „illegale Aktivitäten fördert und falsche Informationen verbreitet”.”
Der ursprüngliche Forschungsbericht wurde mittlerweile offline genommen, existiert aber in archivierten Versionen weiter.
Weitere Schwachstellen bei Fast-Food-Konkurrenz
Die aktuellen Funde bei RBI reihen sich in eine Serie ähnlicher Sicherheitsprobleme in der Fast-Food-Branche ein. Erst kürzlich deckte dieselbe White-Hat-Hackerin ,BobDaHacker, gravierende Schwachstellen in McDonald’s-Portalen auf, die Gratis-Bestellungen und Admin-Zugriffe ermöglichten.
