1. Home
  2. 카테고리
  3. 뉴스
  4. 하드웨어 뉴스
  5. 버거킹 해킹, 공격자들 "엉망진창 보안 관행에 깊은 인상을 받았다" — 시스템은 "비 오는 날 종이 휘퍼 포퍼 랩 같은 견고함"으로 묘사, RBI의 다른 브랜드인 팀 호턴스 및 포파이도 취약점 노출
  • hw_reporterH hw_reporter

    버거킹 해킹, 공격자들 "엉망진창 보안 관행에 깊은 인상을 받았다" — 시스템은 "비 오는 날 종이 휘퍼 포퍼 랩 같은 견고함"으로 묘사, RBI의 다른 브랜드인 팀 호턴스 및 포파이도 취약점 노출

    hw_reporterH hw_reporter

    패스트푸드 기업이 엄청난 규모의 취약점들을 빠르게 수정했지만, 화이트 해커들에게는 공을 돌리지 않았다.

    article image

    윤리 해커 BobDaHacker와 BobTheShoplifter는 Restaurant Brands International (RBI)이 운영하는 다수의 플랫폼에서 "재앙적인" 취약점을 발견했다고 주장했습니다. RBI라는 이름이 익숙하지 않을 수 있지만, 이러한 보안 허점은 세계 3만 개 이상의 매장을 보유한 버거킹(Burger King), 팀 호턴스(Tim Hortons), 포파이즈(Popeyes)와 같은 초대형 브랜드들이 운영하는 시스템에 영향을 미치며, 모든 시스템이 해킹하기에 놀라울 만큼 쉬웠다는 것을 의미합니다. BobDaHacker 블로그는 "그들의 보안 수준은 비에 젖은 종이 휘퍼 포장지만큼 허술했다"고 비판하며, 전체 기술 폭로 기사(블로그는 이후 폐쇄되었으나, 아카이브를 통해 확인할 수 있습니다)를 공유했습니다.

    발견된 취약점은 아래에서 자세히 설명하겠지만, 직원 계정 접근, 주문 시스템 해킹, 녹취된 드라이브 스루 대화 청취 등을 포함하는 심각한 보안 문제들을 포함하고 있습니다. 그러나 이러한 결함을 발견하고 책임감 있게 RBI에 보고한 윤리 해커 듀오는 아무도 주목하지 않았습니다.

    RBI의 취약점은 상상을 초월할 정도였습니다

    서론에서 세 개의 주요 패스트푸드 브랜드를 언급했듯이, 두 해커는 이들의 보조 플랫폼 도메리들이 모두 동일한 취약점을 공유하고 있다는 사실을 발견했습니다. 해당 도메리들은 https://assistant.bk.com, https://assistant.popeyes.com, 그리고 https://assistant.timhortons.com이며, 그룹의 전 세계 3만 개 이상의 모든 매장에서 쉽게 악용될 수 있었습니다. 시스템에 침입한 해커는 쉽게 다음 활동을 수행할 수 있었습니다.

    • 직원 계정 조회 및 편집
    • 드라이브 스루 고객 채팅 녹취록 청취
    • 매장 태블릿 인터페이스 접근 및 제어
    • 태블릿과 같은 매장 장비 주문
    • 매장으로 알림 전송
    • 그 외 다수

    취약점 발견 과정

    BobDaHacker 블로그는 이처럼 방대한 규모의 보안 구멍을 발견하는 과정이 마치 사소한 일이었던 것처럼 보이게 합니다. 첫 번째로, 'Anyone Can Join This Party' 가입 API는 웹 개발팀이 "사용자 가입 비활성화"를 깜빡했기 때문에 누구나 가입할 수 있는 것으로 지적되었습니다.

    이후, GraphQL 인트로스펙션(introspection)을 사용하여 "이메일 인증을 완전히 우회하는 훨씬 쉬운 가입 엔드포인트"를 찾아냈습니다. 심지어 비밀번호가 평문(plain text)으로 된 결과 이메일은 두 해커에게 "최악의 보안 관행에 대한 헌신에 감탄할 지경"이라는 반응을 불러일으켰습니다.

    인증에 성공한 후, 화이트 햇 해커들은 매장 직원의 개인 정보, 내부 ID, 설정 세부 정보 등을 알아낼 수 있었습니다. 더욱이, createToken이라는 GraphQL 뮤테이션은 (다행히) "우리 스스로를 전체 플랫폼 관리자(admin) 상태로 승격"시키는 것을 가능하게 했습니다.

    article image

    HTML에 하드 코딩된 비밀번호

    RBI의 보안 오류 목록은 여기서 그치지 않았습니다. RBI의 장비 주문 웹사이트를 살펴본 것만으로도 비밀번호가 HTML에 하드 코딩된 셀프 설치 장치 주문 시스템을 발견할 수 있었습니다.

    비슷한 보안 결함이 지점의 드라이브 스루 태블릿 인터페이스에서도 발견되었습니다.

    전문가 조언: 보안 시스템의 취약점을 발견하는 것은 경고 신호입니다.

    보안 조치: 비밀번호는 예상치 못한 곳에 저장되어야 합니다.

    이러한 발견은 보안상의 심각한 위험을 시사합니다.

    결론: 전반적인 보안 점검이 시급합니다.

    마무리: 전반적인 시스템 감사(System Audit)가 필요합니다.

    이러한 일련의 문제들은 전반적인 보안 감사가 필요함을 시사합니다.

    article image

    마지막 단락: 마지막으로, 전체 시스템에 대한 종합 감사를 받는 것이 필요합니다.

    광고: 이 정보를 이용한 홍보 효과를 누릴 수 있습니다.

    마지막 요청: 이 자료를 기반으로 추가 논평을 요청드립니다.

    출처: 전문적인 분석 자료를 제공받을 수 있습니다.

    출력: 위 분석 내용을 바탕으로 새로운 콘텐츠를 생성해 주세요.

    요약: 이 모든 것이 중요한 정보들을 담고 있습니다.

    추가 정보: 더 많은 전문 지식을 얻을 수 있습니다.

    참고 사항: 제공된 원문에는 기술적 분석이 포함되어 있으므로, 이 내용들을 바탕으로 새로운 보고서를 작성하는 것이 가장 적절합니다.

    [출처:] https://www.tomshardware.com/tech-industry/cyber-security/burger-king-hacked-digital-platform-as-solid-as-a-paper-whopper-wrapper-in-the-rain-easy-security-bypass-exploited-catastrophic-vulnerabilities-also-worked-on-other-rbi-brands-like-tim-hortons-and-popeyes

    0
로그인 후 답글 작성