Image by M. Rennim, from Unsplash
Burger King e Outras Marcas da RBI Hackeadas, Segurança Chamada de ‘Tão Sólida Quanto um Invólucro de Whopper de Papel’
Tempo de leitura: 3 minuto
Última atualização: Sep 9, 2025
-
![Kiara Fabbri]()
-
![Equipe de localização e tradução]()
Traduzido por Equipe de localização e tradução Serviços de localização e tradução
Hackers éticos descobriram falhas catastróficas de segurança cibernética nos sistemas do Burger King, Tim Hortons e Popeyes, expondo contas de funcionários, gravações de drive-thru e práticas de segurança fracas em todo o mundo.
Está com pressa? Aqui estão os fatos rápidos:
- Vulnerabilidades permitiram o acesso a contas de funcionários, sistemas de pedidos e gravações de áudio do drive-thru.
- Hackers encontraram senhas codificadas e proteções de API fracas em todas as plataformas assistentes.
- As senhas eram armazenadas em texto simples e o acesso de administrador podia ser facilmente obtido.
Os hackers éticos BobDaHacker e BobTheShoplifter afirmam ter descoberto vulnerabilidades “catastróficas” nos sistemas geridos pela Restaurant Brands International (RBI), a empresa por trás do Burger King, Tim Hortons e Popeyes.
A cadeia mundial de fast-food opera por meio de plataformas compartilhadas, que os hackers identificaram como tendo graves falhas de segurança, mesmo gerenciando 30.000 locais. O blog BobDaHacker descreveu as medidas de segurança como “tão sólidas quanto um embrulho de Whopper de papel na chuva”, conforme observado por Tom’s Hardware (TH) que primeiro relatou essa história
As falhas de segurança permitiram aos hackers obter acesso a contas de funcionários, sistemas de pedidos e ouvir conversas gravadas no drive-thru. Os hackers éticos não receberam resposta da RBI depois de notificarem adequadamente a empresa sobre os problemas de segurança, conforme explicado pelo TH.
Todas as três plataformas de assistência das marcas compartilhavam as mesmas vulnerabilidades de segurança. TH relata que um hacker que conseguisse acesso ao sistema poderia modificar contas de funcionários, gerenciar dispositivos e equipamentos da loja, distribuir alertas para localidades e realizar ações adicionais.
As vulnerabilidades foram descobertas através de uma combinação de configurações descuidadas de API e introspecção GraphQL. Os hackers encontraram um ponto de acesso para cadastro que ignorava a verificação de e-mail, expondo senhas em texto simples.
“Ficamos impressionadas com o compromisso com práticas de segurança terríveis”, escreveram, conforme relatado pelo TH. Usando uma mutação GraphQL chamada createToken, elas conseguiram “nos promover a status de administradoras em toda a plataforma”.
Outros erros de segurança incluíam senhas codificadas em interfaces de tablets de lojas e sistemas de pedidos de equipamentos, às vezes simplesmente definidas como ‘admin’.
O TH informa que os hackers tiveram acesso a gravações de áudio completas e não processadas de pedidos feitos no drive-thru, que às vezes continham informações pessoais. Os hackers tiveram acesso aos sistemas de avaliação de banheiros, mas optaram por não modificá-los.
O blog BobDaHacker enfatizou que “nenhum dado do cliente foi retido durante esta pesquisa”, seguindo práticas de divulgação responsáveis, conforme relatado pelo TH.
Este artigo destaca riscos graves em grandes redes de fast-food e sublinha a importância de práticas robustas de cibersegurança em empresas globais.
História anterior
Artigos mais recentes 
