Hack no Burger King: bypass de autenticação permite espionagem de áudio no drive-thru

 (bobdahacker.com)
1 pontos por GN⁺ 2025-09-07 | 1 comentários | Compartilhar no WhatsApp
  • Uma equipe de pesquisadores de segurança encontrou uma vulnerabilidade de bypass de autenticação no sistema de drive-thru do Burger King
  • A falha confirmou a possibilidade de acesso não autorizado ao stream de áudio do drive-thru
  • Controles internos insuficientes criaram um ambiente que permitia monitoramento em tempo real
  • Sem a necessidade de procedimentos complexos adicionais, um invasor podia coletar dados de voz diretamente
  • O caso serviu para recolocar em evidência a importância da segurança da infraestrutura de TI no setor de alimentação

Visão geral do incidente

  • Uma equipe de pesquisadores de segurança explorou uma vulnerabilidade de bypass de autenticação no sistema de áudio de drive-thru do Burger King
  • A falha permitia que pessoas externas se conectassem ao stream de áudio do sistema sem autenticação adicional

Método de ataque

  • A causa foi a ausência de autenticação HTTP ou uma política de autenticação fraca na interface web
  • Os pesquisadores confirmaram que, sabendo apenas o endereço IP do sistema, era possível acessar dados de áudio diretamente

Impacto e riscos

  • Essa vulnerabilidade levantou o risco de vazamento de dados pessoais, incluindo monitoramento em tempo real de conversas de clientes
  • Um atacante externo podia roubar com facilidade o fluxo operacional do estabelecimento e informações de clientes

Implicações

  • O caso expôs problemas no estado da gestão de dispositivos IoT e redes nos setores de alimentação e varejo
  • Reforçou-se a necessidade de mecanismos robustos de autenticação e verificações periódicas de segurança

Leituras relacionadas

1 comentários

 
GN⁺ 2025-09-07
Comentários do Hacker News

  • O blog está fora do ar no momento; em vez disso, compartilho o link do Web Archive

  • Pelo desenrolar da história, parece que esse pesquisador de segurança seguiu as regras de divulgação responsável e publicou o texto só depois que a vulnerabilidade foi corrigida, mas mesmo assim não recebeu nenhuma resposta da empresa. Ou seja, existe a premissa de que só há recompensa quando isso foi combinado de antemão, mas mesmo havendo expectativa de recompensa, no fim não houve retorno algum. Eu também já encontrei uma vulnerabilidade de segurança sensível em uma startup famosa e a reportei em detalhes por vários e-mails, seguindo o processo formal, mas só recebi um convite para o HackerOne. Casos anteriores de recompensa giravam em torno de $2.000, mas eu achava que a minha descoberta valia entre $10.000 e $50.000. Só que eu não tinha tempo para escrever o relatório formal que pediram e também não valia a pena fazer isso por $2.000. Fico me perguntando se, num caso desses, eu também poderia publicar um post no blog

    • Na prática, ele até recebeu contato da empresa, mas o post levou um DMCA (notificação de violação de direitos autorais). Mesmo vendo a captura de tela do e-mail, não fica claro por que isso seria uma violação de DMCA, e parece um caso típico de abuso de DMCA. A empresa que gerou esse pedido de DMCA com IA também recebeu investimento da Y-Combinator. Referência
    • Tecnicamente, em vez de "divulgação responsável", o termo correto seria "divulgação coordenada" (coordinated disclosure), porque a expressão "responsável" tende a fazer certos comportamentos parecerem moralmente superiores
    • Sem regulação forte e capacidade de fiscalização, isso não vai acabar. Hoje, a escolha é entre pagar um bug bounty ou correr o risco de enfrentar depois um problema maior, seja judicial ou de PR. Do ponto de vista da empresa, ela vai escolher entre um gasto certo agora e um risco incerto no futuro, ficando com a opção de menor custo. Se no futuro houver uma ameaça real de punição pesada por incidente de segurança — por exemplo, uma multa de $10 milhões em vez de um bounty de $100 mil —, então até o CEO preferiria pagar o bounty se soubesse que, ao ignorar o relatório e lucrar com isso, poderia acabar perdendo a própria casa. O peso do risco precisa ser transferido para o fornecedor
    • Quando algo assim é publicado em público, comentários e manchetes da imprensa podem se tornar mais diretos ou zombeteiros e se espalhar, e numa época sem muita notícia do momento isso pode até viralizar nacionalmente. A história de "não recebeu recompensa" é algo com que qualquer um consegue se identificar, então é uma escolha ruim do ponto de vista de PR
    • Se o objetivo é conscientizar as empresas de que elas devem pagar bounty de forma adequada, acho que publicar isso abertamente também pode ser algo ético

  • Ouvi dizer que o post saiu do ar porque foi feita uma reivindicação de DMCA à Cloudflare. Pelo que sei, o DMCA tem várias etapas; entendo a parte de a empresa de hospedagem lidar com isso, mas se eu estivesse em self-hosting, sem Cloudflare, como isso funcionaria? Também tenho curiosidade se um DMCA iria para o meu ISP ou para o registrador do domínio

    • Eu queria entender por que havia tanta certeza de que era por causa de DMCA, mas vi a postagem relacionada e entendi
    • Normalmente, o DMCA é encaminhado ao ISP. Dependendo do ISP, ele repassa isso ao usuário ou não. Antigamente (na época de baixar filmes por torrent), isso era mais comum porque os estúdios mandavam DMCAs indiscriminadamente
    • Em 2008~2009, eu operava vários servidores bare metal na SoftLayer (Dallas, TX), e um dos clientes era um fórum de música latino-americana. Se alguém subisse um MP3, o datacenter bloqueava o roteamento de tráfego para o servidor assim que recebia um pedido de DMCA. Nem dá para imaginar que ferramentas existirão em 2025

  • Fiquei pensando se gravar conversas no drive-thru sem nenhum aviso separado de gravação não seria o tipo de caso que advogados de estados de "consentimento de ambas as partes" adorariam. Claro, dá para argumentar que, ao falar em público e em voz alta, não há expectativa de privacidade, mas ainda assim me parece um risco jurídico

    • Em geral, gravar em local público sem consentimento não gera responsabilidade legal. Se for um lugar onde qualquer pessoa possa entrar no drive-thru, é possível gravar sem autorização nem aviso específicos. Mas descobri que em alguns estados, até gravação em local público é proibida. Essas leis ainda não foram mantidas nem derrubadas pela Suprema Corte dos EUA
    • Fico curioso se, mesmo em local público, ainda seria obrigatório obter o consentimento de ambas as partes

  • O que mais me surpreende é existir um sistema que define até a forma como as pessoas devem falar no drive-thru. Ele exige tom positivo e frases de incentivo como "You rule", mas, do ponto de vista de quem trabalha lá, não dá para manter isso o tempo todo. Na prática, o cliente já fica satisfeito se pelo menos parte do pedido vier correta. Além disso, a qualidade do sistema de áudio costuma ser tão ruim que mal dá para perceber se disseram "You rule" ou não. Não consigo entender por que microgerenciar com esse tipo de software uma pessoa ganhando $6 por hora para virar hambúrguer

    • Ironicamente, quanto menor é o salário do trabalho, mais exigentes e rígidos os gestores tendem a ser. Por exemplo, se você ganha mais de $100 mil por ano como desenvolvedor e trabalha de casa, ficar uma semana de repouso por doença não é problema nenhum; mas, se você é atendente horista de call center, se não avisar com 48 horas de antecedência já leva advertência. E, se já estiver sob advertência, nem recebe licença médica remunerada. Se não levar atestado também, é demissão
      1. Na verdade, não há absolutamente nada de errado em trabalhar virando hambúrguer. 2) Em essência, isso é uma estrutura em que trabalhadores de baixa renda empurram esse tipo de tarefa para trabalhadores que ganham ainda menos. É preciso ter um pouco de consideração

  • Há mais de 40 anos, em L.A., alguém descobriu que o quiosque de drive-up do Burger King estava ligado ao restaurante por um enlace de rádio RF. Descobriram a frequência e o tipo de modulação e passaram a fazer a mesma comunicação com um transceptor portátil. Instalaram uma filmadora num estacionamento próximo e gravaram um vídeo pregando peças nos clientes do drive-thru, que acabou recebendo o título de "Attack on a Burger King". Essas pessoas eram engenheiros de radiodifusão, e na época o vídeo circulou até dentro de estúdios. No final, um funcionário sai correndo em direção ao cliente, e os hackers ainda brincam dizendo para ele fugir. Não sei se esse vídeo chegou a aparecer em streaming

    • Antigamente, a maioria dos headsets de drive-thru de fast-food usava a banda comercial VHF. Um grupo chamado "Phone Losers of America" ficou famoso por esse tipo de pegadinha. Vídeo de referência no YouTube "I'm in the freezer at QuikTrip!"

  • A frase "Mandaram a senha em texto puro por e-mail. Em 2025. Impressiona a dedicação à falta de segurança" acrescentou um toque divertido, cheio de sarcasmo

  • Só para fazer um contraponto, acho que enviar por e-mail uma senha temporária em texto puro não é necessariamente um problema, desde que o sistema obrigue a trocá-la assim que fizer login

  • Como era de se esperar, o blog também saiu do ar, e confirmei a versão arquivada pelo link do archive.is

  • Nossa, que caso realmente ruim. É bem sério, mas erros assim ainda acontecem muito até em empresas grandes. Tenho certeza de que deve haver dezenas de gigantes repetindo exatamente esse tipo de falha