Image by M. Rennim, from Unsplash
Burger King ve Diğer RBI Markaları Hacklendi, Güvenlik ‘Bir Kağıt Whopper Sarma Kağıdı Kadar Sağlam’ Olarak Nitelendirildi
Okuma süresi: 2 dk.
Son Güncellenen Sep 9, 2025
-
![Kiara Fabbri]()
-
![Lokalizasyon ve Çeviri Ekibi]()
Çevirisi tarafından yapılmıştır Lokalizasyon ve Çeviri Ekibi Lokalizasyon ve Çeviri Hizmetleri
Etik hackerlar, Burger King, Tim Hortons ve Popeyes sistemlerinde felaket derecede zayıf siber güvenlik uygulamalarını keşfetti. Çalışan hesapları, drive-thru kayıtları ve dünya genelindeki zayıf güvenlik uygulamaları risk altına girdi.
Acele mi ediyorsunuz? İşte hızlı bilgiler:
- Zaafiyetler, çalışan hesaplarına, sipariş sistemlerine ve drive-thru ses kayıtlarına erişime izin verdi.
- Hackerlar, tüm asistan platformlarında sabit kodlu şifreler ve zayıf API korumaları buldu.
- Şifreler düz metin olarak saklandı ve yönetici erişimi kolaylıkla elde edilebilirdi.
Etik hackerlar BobDaHacker ve BobTheShoplifter, Burger King, Tim Hortons ve Popeyes’in arkasındaki şirket olan Restaurant Brands International (RBI)’nin sistemlerinde “felaket” niteliğinde açıklıklar bulduklarını iddia ediyorlar.
Dünya çapında hizmet veren fast-food zinciri, 30.000 konumu yönetmesine rağmen, hackerların ciddi güvenlik zayıflıkları olduğunu belirlediği ortak platformlar aracılığıyla çalışmaktadır. BobDaHacker blogu, güvenlik önlemlerini “yağmurlu bir günde kağıt Whopper sarıcı kadar sağlam” olarak tanımladı, ilk olarak bu hikayeyi rapor eden Tom’s Hardware (TH) tarafından belirtildiği gibi
Güvenlik açıkları, hackerların çalışan hesaplarına, sipariş sistemlerine erişim sağlamalarını ve kaydedilmiş drive-thru konuşmalarını dinlemelerini sağladı. TH tarafından açıklananlara göre, etik hackerlar, güvenlik sorunları hakkında şirketi düzgün bir şekilde bilgilendirdikten sonra RBI’den hiçbir yanıt almadı.
Üç markanın asistan platformları aynı güvenlik açıklarını paylaştı. TH, sisteme giriş yapan bir hacker’ın, çalışan hesaplarını değiştirebileceğini, mağaza cihazlarını ve ekipmanlarını yönetebileceğini, konumlara uyarılar dağıtabileceğini ve ek işlemler gerçekleştirebileceğini bildiriyor.
Açıklıklar, dikkatsiz API yapılandırmaları ve GraphQL introspeksiyonunun bir kombinasyonu aracılığıyla keşfedildi. Hackerlar, e-posta doğrulamasını atlatan bir kayıt noktası buldular, bu da şifreleri düz metin olarak ortaya çıkardı.
“Korkunç güvenlik uygulamalarına olan bağlılık bizi etkiledi,” diye yazdılar, TH tarafından bildirildiği üzere. CreateToken adlı bir GraphQL değişikliği kullanarak, “kendimizi tüm platformda yönetici durumuna yükseltebilirdik.”
Ek güvenlik hataları arasında mağaza tablet arayüzlerinde ve ekipman sipariş sistemlerinde sabit kodlu şifreler bulunuyordu, bazen sadece ‘admin’ olarak ayarlanmıştı.
TH, hackerların drive-thru siparişlerinin tamamlanmamış ses kayıtlarına eriştiğini ve bu kayıtların bazen kişisel bilgiler içerdiğini bildiriyor. Hackerlar, tuvalet değerlendirme ekran sistemlerine de erişim sağladılar, ancak bunları değiştirmeyi tercih etmediler.
BobDaHacker blogu, TH’nin bildirdiği gibi, sorumlu ifşa uygulamalarını takip ederek “bu araştırma sırasında hiçbir müşteri verisi tutulmadı” vurgusunu yaptı.
Bu rapor, büyük fast-food zincirlerindeki ciddi riskleri vurguluyor ve küresel işletmelerde sağlam siber güvenlik uygulamalarının önemini altını çiziyor.
Önceki Hikâye
Son makaleler 
