Image by M. Rennim, from Unsplash
Burger King e Altri Marchi RBI Violati, la Sicurezza Definita ‘Robusta Come un Involucro di Whopper di Carta’
Tempo di lettura: 3 Min.
Ultimo aggiornamento: Sep 9, 2025
-
![Kiara Fabbri]()
-
![Il team di localizzazione e traduzione]()
Tradotto da Il team di localizzazione e traduzione Servizi di localizzazione e traduzione
Gli hacker etici hanno scoperto gravi debolezze nella sicurezza informatica di Burger King, Tim Hortons e Popeyes, esponendo account dei dipendenti, registrazioni al drive-thru e pratiche di sicurezza deboli a livello globale.
Sei di fretta? Ecco i fatti essenziali:
- Le vulnerabilità hanno permesso l’accesso agli account dei dipendenti, ai sistemi di ordinazione e alle registrazioni audio del drive-thru.
- I hacker hanno trovato password codificate in modo predefinito e deboli protezioni API su tutte le piattaforme assistive.
- Le password venivano conservate in testo semplice e l’accesso da amministratore poteva essere facilmente ottenuto.
Gli hacker etici BobDaHacker e BobTheShoplifter sostengono di aver scoperto delle vulnerabilità “catastrofiche” nei sistemi gestiti da Restaurant Brands International (RBI), l’azienda dietro Burger King, Tim Hortons e Popeyes.
La catena mondiale di fast food opera attraverso piattaforme condivise, che gli hacker hanno identificato come aventi gravi lacune di sicurezza, nonostante gestiscano 30.000 sedi. Il blog di BobDaHacker ha descritto le misure di sicurezza come “solide come un involucro di Whopper di carta sotto la pioggia”, come osservato da Tom’s Hardware (TH) che ha riportato per primo questa notizia
Le falle di sicurezza hanno permesso agli hacker di accedere agli account dei dipendenti, ai sistemi di ordinazione e di ascoltare le conversazioni registrate al drive-thru. Gli hacker etici non hanno ricevuto alcuna risposta da RBI dopo aver correttamente segnalato all’azienda i problemi di sicurezza, come spiegato da TH.
Tutte e tre le piattaforme di assistenza dei marchi condividevano identiche vulnerabilità di sicurezza. TH riferisce che un hacker che avesse ottenuto accesso al sistema avrebbe potuto modificare gli account dei dipendenti, gestire dispositivi e attrezzature del negozio, distribuire avvisi ai luoghi e svolgere azioni aggiuntive.
Le vulnerabilità sono state scoperte attraverso una combinazione di configurazioni API negligenti e introspezione GraphQL. I hacker hanno trovato un punto di accesso per la registrazione che eludeva la verifica dell’email, rivelando le password in chiaro.
“Siamo rimasti impressionati dall’impegno verso pratiche di sicurezza terribili”, hanno scritto, come riportato da TH. Utilizzando una mutazione GraphQL chiamata createToken, potevano “promuoverci a status di amministratore su tutta la piattaforma.”
Altri errori di sicurezza includevano password fisse su interfacce di tablet di negozi e sistemi di ordinazione di attrezzature, a volte impostate semplicemente come ‘admin’.
TH segnala che gli hacker hanno ottenuto accesso a registrazioni audio complete non elaborate di ordini al servizio drive-thru, che a volte contenevano informazioni personali. Gli hacker hanno avuto accesso ai sistemi di valutazione dei bagni, ma hanno scelto di non modificarli.
Il blog BobDaHacker ha sottolineato che “nessun dato del cliente è stato conservato durante questa ricerca”, seguendo le pratiche di divulgazione responsabile, come riportato da TH.
Questo reportage evidenzia gravi rischi nelle principali catene di fast-food e sottolinea l’importanza di solidi protocolli di sicurezza informatica nelle grandi imprese internazionali.
Storia precedente
Ultimi articoli 
