💡
原文中文,约1300字,阅读约需3分钟。
📝
内容提要
白帽黑客发现汉堡王母公司RBI存在安全漏洞,HTML中硬编码的密码和未认证的API接口使得攻击者可轻易注册为管理员,获取员工信息和客户录音。汉堡王随后发出DMCA通知要求删除相关博文,RBI对此事件未作回应。
🎯
关键要点
- 白帽黑客发现汉堡王母公司RBI存在安全漏洞,HTML中硬编码的密码和未认证的API接口使得攻击者可轻易注册为管理员。
- 研究人员嘲讽RBI的安全措施脆弱,攻击者可以简单步骤进入内部系统查看客户数据。
- 汉堡王发出DMCA通知要求删除相关博文,称博文侵犯了商标权,研究人员为避免法律纠纷已删除博文。
- RBI的开发团队未禁用API接口注册功能,任何人可注册账户并使用API平台,明文密码通过邮箱发送。
- 研究人员可获取汉堡王员工个人信息和内部ID,甚至将账号提升为管理员权限。
- RBI的设备订购网站将密码硬编码到HTML中,部分汉堡王门店的免下车平板电脑界面也存在类似漏洞。
- 汉堡王的免下车点餐通道录制消费者对话,研究人员可获取所有对话的完整音频文件,部分音频中包含个人身份信息。
- 研究人员在测试过程中没有保留任何数据,并负责任地将安全漏洞报告给RBI进行修复。
- 汉堡王和RBI未对此次安全事件进行回应,令人好奇其迅速发送DMCA通知的原因。
➡️
