Hacker News 中文摘要

RSS订阅

我们黑进汉堡王:认证绕过如何导致得来速音频监控 -- We Hacked Burger King: How Auth Bypass Led to Drive-Thru Audio Surveillance

原文链接 | HN讨论 | 2025-09-07 00:07:52

文章摘要

文章揭示了餐饮巨头RBI旗下品牌(如汉堡王、Tim Hortons和Popeyes)的“助手”平台存在严重安全漏洞,导致全球3万家门店的认证系统被绕过,甚至能窃听得来速车道的对话。漏洞涉及三个域名,暴露了系统的脆弱性,使得黑客能够轻易访问和控制这些平台。

文章总结

标题:我们如何黑入汉堡王:认证绕过导致得来速音频监控

主要内容:

文章详细描述了一次针对餐饮品牌国际公司(RBI)旗下品牌(包括汉堡王、Tim Hortons和Popeyes)的网络安全漏洞的发现过程。RBI在全球拥有超过30,000家门店,其“助手”平台负责管理得来速屏幕、洗手间平板反馈等数字化操作。然而,该平台的安全措施极为薄弱,导致黑客能够轻易访问全球所有门店的系统,甚至监听得来速的对话。

漏洞详情:

  1. 无限制的注册API:黑客发现系统允许未经授权的用户注册,且通过GraphQL查询可以绕过电子邮件验证,直接创建账户。更糟糕的是,系统会以明文形式发送密码。

  2. 全球门店目录:一旦登录,黑客可以访问全球所有门店的详细信息,包括员工个人信息、内部ID和配置细节。

  3. 无认证的令牌生成:黑客发现了一个名为createToken的GraphQL突变,无需任何认证即可生成令牌,该令牌可以授予对整个平台的管理员权限。

  4. 得来速设备订购网站:黑客还发现了一个设备订购网站,其密码保护仅在前端实现,密码直接硬编码在HTML中。

  5. 得来速控制室:通过生成的令牌,黑客可以访问门店的平板界面,查看历史对话、控制音频级别,甚至访问诊断屏幕,其密码保护同样极为简单。

  6. 得来速监控:黑客能够访问顾客的原始音频录音,这些录音被用于AI分析,包括顾客情绪、员工友好度、销售成功率等。

  7. 洗手间反馈系统:黑客还发现了洗手间评分系统的代码,该系统同样缺乏认证,允许任何人提交反馈。

影响:

通过这些漏洞,黑客可以添加/删除门店、管理员工账户、发送通知、访问销售数据、上传文件等。此外,大量包含个人信息的语音录音被暴露,可能涉及数千甚至数十万条记录。

时间线:

  • 第一天:黑客开始探索系统,几小时内发现了严重漏洞,并能够监听得来速对话。
  • 同一天:RBI迅速修复了所有漏洞,但未对漏洞本身发表评论。

结论:

尽管RBI的响应速度令人印象深刻,但其系统的安全漏洞暴露了严重的隐私问题。黑客在研究中遵循了负责任的披露协议,未保留任何客户数据。

合作声明:

本文是@BobDaHacker和@BobTheShoplifter的官方合作成果。

评论总结

评论内容总结:

  1. 对Burger King的批评

    • 主要观点:评论者对Burger King的安全漏洞和监控技术表示不满,认为其信息安全措施极其糟糕,且未经同意的录音行为在伦理上存在问题。
    • 关键引用
      • "Their poor information security is pathetic, but their actual surveillance tech is genuinely kind of politically concerning."(他们的信息安全措施极其糟糕,但他们的监控技术确实在政治上令人担忧。)
      • "Even if it is technically legal, it’s unethical to record conversations without consent."(即使这在技术上是合法的,未经同意的录音在伦理上是不道德的。)

  2. 对安全研究者的讨论

    • 主要观点:评论者讨论了安全研究者在发现漏洞后应如何处理,包括是否应公开漏洞信息以及是否应获得报酬。
    • 关键引用
      • "Why do security researchers privately inform companies of vulnerabilities and wait for them to patch before public disclosure?"(为什么安全研究者会私下通知公司漏洞并等待他们修复后再公开披露?)
      • "Does that mean I can make a post like this?"(这是否意味着我可以像这样发帖?)

  3. 对低薪员工的同情

    • 主要观点:评论者认为不应侮辱低薪员工,他们与此事无关,且可能非常需要这份工作。
    • 关键引用
      • "I don’t understand the need to insult people who make minimum wage."(我不明白为什么要侮辱那些拿最低工资的人。)
      • "Maybe they enjoy their lives, or enjoy their jobs?"(也许他们享受自己的生活,或者喜欢他们的工作?)

  4. 对公司的讽刺

    • 主要观点:评论者对公司糟糕的安全措施表示讽刺,认为其行为令人难以置信。
    • 关键引用
      • "They emailed us the password in plain text. In 2025. We’re not even mad, just impressed by the commitment to terrible security practices."(他们在2025年用明文发送密码给我们。我们甚至不生气,只是对他们坚持糟糕的安全措施感到印象深刻。)
      • "The hilarious sarcasm throughout was the cherry on top for me."(贯穿始终的讽刺对我来说是锦上添花。)

  5. 对监控技术的担忧

    • 主要观点:评论者对Burger King的监控技术表示担忧,认为即使合法,也存在伦理问题。
    • 关键引用
      • "The voice recordings at the drive thru without disclaimers of recording seem like maybe a two party state lawyer’s wet dream?"(在未告知的情况下录制得来速的语音,这可能是双方法律律师的梦想?)
      • "It’s unethical to record conversations without consent."(未经同意的录音在伦理上是不道德的。)

总结:评论者对Burger King的安全漏洞和监控技术表示强烈不满,认为其信息安全措施极其糟糕,且未经同意的录音行为在伦理上存在问题。同时,评论者讨论了安全研究者在发现漏洞后应如何处理,并对低薪员工表示同情。此外,评论者对公司糟糕的安全措施表示讽刺,并对监控技术表示担忧。