버거킹과 기타 RBI 브랜드 해킹당해, 보안은 ‘종이 버거 래퍼만큼 튼튼하다’라고 불리웠다.

윤리 해커들이 버거킹, 팀 호튼, 포피아이의 시스템에서 치명적인 사이버 보안 약점을 발견하였습니다. 이로 인해 직원 계정, 드라이브 스루 녹음, 그리고 전 세계적으로 미흡한 보안 관행이 노출되었습니다.

윤리 해커인 BobDaHacker와 BobTheShoplifter는 버거킹, 팀 호튼, 포피아이를 운영하는 Restaurant Brands International (RBI)의 시스템에서 “대단히 치명적인” 취약점을 발견했다고 주장합니다.

세계적인 패스트푸드 체인은 공유 플랫폼을 통해 운영되며, 해커들은 이러한 플랫폼이 심각한 보안 취약점을 가지고 있음을 확인했습니다. 이 플랫폼들은 3만 개의 지점을 관리하고 있음에도 불구하고 말이죠. BobDaHacker 블로그에서는 이 보안 조치를 “비오는 날의 종이로 만든 와퍼 포장지만큼 견고하다”고 표현했습니다. 이 사실은 Tom’s Hardware(TH)가 처음으로 보도한 것입니다

이 보안 결함으로 인해 해커들은 직원 계정, 주문 시스템에 접근하고, 드라이브 스루 대화를 들을 수 있었습니다. 윤리적인 해커들은 이 보안 문제에 대해 회사에 적절히 알렸지만, RBI로부터는 어떠한 반응도 받지 못했습니다. 이는 TH가 설명한 바입니다.

세 개의 브랜드의 보조 플랫폼은 모두 동일한 보안 취약점을 공유했습니다. TH는 시스템에 침입한 해커가 직원 계정을 수정하고, 매장 장비와 기기를 관리하며, 위치에 경고를 배포하고, 추가적인 행동을 실행할 수 있었다고 보고했습니다.

이 취약점들은 부주의한 API 설정과 GraphQL 내관의 결합을 통해 발견되었습니다. 해커들은 이메일 검증을 우회하는 가입 엔드포인트를 찾아냈고, 이를 통해 비밀번호를 평문으로 드러냈습니다.

“우리는 끔찍한 보안 관행에 대한 그들의 헌신에 감탄했습니다.”라고 그들은 TH에 보도된 바와 같이 쓰였습니다. createToken이라는 GraphQL 변이를 사용하여, 그들은 “전체 플랫폼에서 우리 자신을 관리자 상태로 승격할 수 있었습니다.”

추가적인 보안 실수로는 상점 태블릿 인터페이스와 장비 주문 시스템에 하드코딩된 비밀번호가 포함되었으며, 때때로 이는 단순히 ‘관리자’로 설정되었습니다.

TH 보고에 따르면 해커들이 드라이브 스루 주문에 대한 완전한 미처리 오디오 녹음에 접근할 수 있었으며, 때때로 이러한 녹음에는 개인 정보가 포함되어 있었습니다. 또한 해커들은 화장실 등급 화면 시스템에 접근했지만, 이를 변경하지 않기로 선택했습니다.

BobDaHacker 블로그는 “이 연구 과정에서 고객 데이터를 보관하지 않았다”고 강조하면서, TH가 보도한 바와 같이 책임감 있는 공개 관행을 따랐습니다.

이 보도자료는 주요 패스트푸드 체인에서 발생하는 심각한 위험성을 강조하고, 글로벌 기업에서 견고한 사이버 보안 관행의 중요성을 강조합니다.