Burger King đã thực hiện Đạo luật Bản quyền Thiên niên kỷ Kỹ thuật số (DMCA) để yêu cầu gỡ bỏ bài đăng trên blog của một nhà nghiên cứu bảo mật. Bài viết này đã công bố các lỗ hổng bảo mật nghiêm trọng trong hệ thống “Assistant” mới dành cho dịch vụ drive-thru của hãng.

Nhà nghiên cứu bảo mật (ethical hacker) có tên là BobDaHacker đã công bố một báo cáo chi tiết về cách kẻ tấn công có thể bỏ qua xác thực, nghe lén các đơn đặt hàng của khách hàng và truy cập hồ sơ nhân viên. Nội dung này đã bị gỡ xuống sau khi nhận được thông báo DMCA.

Phân tích Kỹ thuật Nền tảng “Assistant” của Burger King

Vào một ngày thứ Bảy, BobDaHacker đã đăng một bài viết có tiêu đề “We Hacked Burger King” (Chúng tôi đã hack Burger King). Bài viết này mô tả chi tiết các điểm yếu trong nền tảng “Assistant” đang trong giai đoạn thử nghiệm (beta), được xây dựng trên AWS Cognito.

Hệ thống này cho phép bất kỳ ai cũng có thể đăng ký làm người dùng mới do chức năng đăng ký người dùng chưa bị vô hiệu hóa. Sau khi đăng ký, người dùng sẽ nhận được mật khẩu dưới dạng plaintext qua email.

Với tài khoản này, BobDaHacker đã chứng minh khả năng xem và sửa đổi dữ liệu trên mọi cửa hàng sử dụng hệ thống, bao gồm hồ sơ nhân viên và các đơn đặt hàng thiết bị nội bộ.

Một GraphQL mutation ẩn thậm chí còn cho phép nhà nghiên cứu nâng cấp bất kỳ người dùng nào lên quyền quản trị (admin), cấp quyền kiểm soát hoàn toàn đối với danh sách cửa hàng, thông báo và nhiều chức năng khác.

Chi tiết các Lỗ hổng Bảo mật Nghiêm trọng

Lỗ hổng Đăng ký Người dùng và Mật khẩu Plaintext

Nền tảng “Assistant” của Burger King cho phép đăng ký người dùng mới mà không có sự kiểm soát chặt chẽ. Điều này tạo ra một lỗ hổng bảo mật cho phép kẻ tấn công tạo tài khoản hợp lệ một cách dễ dàng.

Tệ hơn nữa, mật khẩu người dùng được gửi qua email dưới dạng plaintext, khiến chúng dễ bị lộ và bị lạm dụng nếu email bị chặn hoặc hệ thống email không an toàn.

Truy cập và Sửa đổi Dữ liệu Toàn hệ thống

Sau khi có được tài khoản, BobDaHacker có thể truy cập và thay đổi dữ liệu liên quan đến mọi cửa hàng sử dụng nền tảng. Điều này bao gồm khả năng xem và chỉnh sửa hồ sơ nhân viên, cùng với các đơn đặt hàng thiết bị nội bộ.

Phạm vi ảnh hưởng rộng khắp này cho thấy mức độ nghiêm trọng của sự xâm nhập mạng tiềm tàng nếu các lỗ hổng này bị khai thác độc hại.

Nâng cấp Quyền Quản trị thông qua GraphQL

Một phát hiện đáng chú ý là sự tồn tại của một GraphQL mutation ẩn. Mutation này cho phép nhà nghiên cứu nâng cấp bất kỳ tài khoản người dùng thông thường nào thành tài khoản có quyền quản trị đầy đủ.

Việc chiếm quyền quản trị này cấp cho kẻ tấn công khả năng kiểm soát toàn diện các tính năng cốt lõi của hệ thống, bao gồm quản lý danh sách cửa hàng, cài đặt thông báo và các chức năng quan trọng khác.

Nghe lén Cuộc trò chuyện Drive-thru

Báo cáo lưu trữ của BobDaHacker tiết lộ rằng nền tảng “Assistant” đã lưu giữ các bản ghi âm cuộc trò chuyện tại drive-thru. Các bản ghi này được xử lý bằng công cụ AI để đánh giá mức độ thân thiện của nhân viên, thời gian chờ và hiệu quả bán hàng bổ sung (upsell success).

Kẻ tấn công có thể phát lại các bản ghi âm này, dẫn đến nguy cơ nghe lén các đơn đặt hàng của khách hàng và thông tin nhạy cảm khác, gây ra rủi ro bảo mật nghiêm trọng về quyền riêng tư.

Mật khẩu Cứng trong Cổng Đặt hàng Thiết bị

Nhà nghiên cứu cũng phát hiện một mật khẩu cứng (hardcoded password) trong mã HTML phía client của một cổng đặt hàng thiết bị. Cổng này được các bên nhượng quyền sử dụng để yêu cầu bộ khởi động.

Sự hiện diện của mật khẩu cứng là một lỗ hổng bảo mật cơ bản, tạo điều kiện cho việc truy cập trái phép vào cổng thông tin này.

Phản ứng và Hậu quả DMCA

Quy trình Tiết lộ có Trách nhiệm

BobDaHacker đã báo cáo các lỗ hổng cho Restaurant Brands International (RBI) chỉ một giờ sau khi phát hiện. RBI đã nhanh chóng vá các lỗ hổng ngay trong cùng ngày.

Nhà nghiên cứu xác nhận rằng không có dữ liệu khách hàng nào bị giữ lại và các giao thức tiết lộ có trách nhiệm đã được tuân thủ nghiêm ngặt trong suốt quá trình.

Thông báo DMCA và Hiệu ứng Streisand

Mặc dù lỗ hổng đã được khắc phục nhanh chóng, công ty tình báo mối đe dọa Cyble đã gửi thông báo DMCA tới BobDaHacker. Thông báo cáo buộc nhà nghiên cứu sử dụng trái phép nhãn hiệu “Burger King” và tuyên bố bài đăng trên blog đã quảng bá hoạt động bất hợp pháp.

Thông báo DMCA lập luận rằng bài viết có thể gây nhầm lẫn cho công chúng, khiến họ nghĩ rằng nội dung được Burger King xác nhận và làm tổn hại đến uy tín của công ty. Cả RBI và Cyble đều từ chối bình luận về yêu cầu gỡ xuống này.

Báo cáo của BobDaHacker[chi tiết tại đây] chỉ tồn tại trực tuyến chưa đầy 48 giờ trước khi bị gỡ xuống. Một bản sao đã được lưu trữ vẫn còn khả dụng trực tuyến. Các chuyên gia an ninh mạng đã đăng lại các phát hiện này trên các nền tảng xã hội để làm nổi bật hiệu ứng Streisand, nơi những nỗ lực đàn áp thông tin lại càng thu hút nhiều sự chú ý hơn.

Bài học về An ninh mạng cho Hệ thống AI

Một phát ngôn viên của Burger King đã thông báo với Information Security Media Group rằng nền tảng thử nghiệm không lưu trữ dữ liệu khách hàng dài hạn mà chỉ giữ lại thông tin tổng hợp trong vài tuần. Họ nhấn mạnh rằng chương trình nhằm mục đích “giúp các thành viên trong nhóm mang lại trải nghiệm khách hàng tốt hơn” bằng cách xác minh độ chính xác của đơn hàng và giám sát trạng thái thiết bị.

Khi các chuỗi lớn ngày càng áp dụng các trợ lý giọng nói dựa trên AI, sự cố này nhấn mạnh tầm quan trọng của việc khóa chặt các luồng xác thực và bảo vệ dữ liệu âm thanh nhạy cảm. Điều này đặc biệt quan trọng trong giai đoạn thử nghiệm beta để tránh các tấn công mạng.

Việc kiểm tra và vá các lỗ hổng bảo mật là tối cần thiết. Để tìm hiểu thêm về các cảnh báo và cập nhật mới nhất về các lỗ hổng, bạn có thể tham khảo National Vulnerability Database (NVD).