- ハードコーディングされたパスワードがバーガーキングの脆弱なセキュリティ基盤を世界中で露呈
- ハッカーは従業員アカウントや内部設定に驚くほど簡単にアクセス
- パスワードが平文でメール送信されていたことから、ずさんなサイバーセキュリティ慣行が明らかに
バーガーキング、ティムホートンズ、ポパイズの親会社であるRestaurant Brands International(RBI)は、重大なセキュリティ欠陥を指摘されています。
BobDaHackerとBobTheShoplifterとして知られる2人のホワイトハッカーが、いかに簡単に重要なシステムへアクセスできたかを明らかにしました。
現在は元のブログが削除されアーカイブのみ残る彼らの調査結果は、ファストフード業界のサイバーセキュリティの深刻な実態を浮き彫りにしています。
誰でも推測できるパスワード
最も衝撃的な発見の一つは、機器発注用ウェブサイトのHTML内にハードコーディングされたパスワードでした。
これだけでも警鐘が鳴らされるべき事態ですが、問題はさらに深刻でした。ドライブスルー用タブレットシステムのパスワードは、単に「admin」だったのです。
このような弱い認証情報は、基本的なウイルス対策チェックやシステム監査でも通常は発見されます。
世界30,000店舗以上を展開するグローバル企業がこのような見落としをしていたことは、デジタルセキュリティへの意識の低さを強く疑わせます。
ハッカーたちは、従業員アカウントや内部設定、さらにはドライブスルーでの会話の生音声記録にまでアクセスできたと説明しています。
これらの音声記録には、注文時に顧客の個人情報が含まれていることもあり、後にAIシステムによってスタッフや顧客の評価に利用されていました。
ホワイトハッカーが責任を持って扱ったものの、悪意ある第三者の手に渡れば何が起きていたかわかりません。
情報漏洩はビジネスの思わぬ領域にも及びました。チームは店舗のトイレ評価画面に関連するコードも発見しました。
自宅から偽レビューを残す冗談も言っていましたが、責任ある情報開示の姿勢を貫きました。
顧客データは保持していないと強調していますが、調査範囲の広さはシステムの開放性を物語っています。
ホワイトハッカーたちは、RBIのセキュリティを「壊滅的」「雨の中の紙製ワッパー包装紙並み」と表現しました。
この表現は冗談めいていますが、実際の脆弱性は深刻です。
誰でも制限なく登録できるAPIや、パスワードが平文で送信されるメールなども含まれていました。
2人は複数のプラットフォームで自分たちに管理者権限を付与する方法まで発見しました。
これらは、基本的なランサムウェア対策や適切なマルウェア除去ポリシーで本来は防げるはずの問題です。
しかしこの報告は、企業レベルでセキュリティの基本が見落とされていたことを示し、関係する全ブランドを危険にさらしていました。
RBIは指摘を受けて問題を修正したとされていますが、ホワイトハッカーたちへの公式な謝意は表明しませんでした。
その沈黙は、本当に教訓が生かされたのか、それとも単なる「修正して終わり」だったのかという疑問を残します。
Via Toms Hardware
