A Restaurant Brands International (RBI), empresa-mãe de gigantes do fast food como o Burger King, Popeyes e Tim Hortons, foi recentemente confrontada com uma série de falhas de segurança embaraçosas. As vulnerabilidades, descobertas por dois hackers éticos conhecidos como BobDaHacker e BobTheShoplifter, revelam que a proteção de alguns sistemas era tão frágil como uma embalagem de hambúrguer à chuva.
A falha mais gritante estava num sistema de pedidos de equipamentos, onde a palavra-passe utilizada era, simplesmente, "admin". Para piorar a situação, os especialistas em cibersegurança descobriram que esta senha estava visível no código de um dos websites, sendo a verificação feita diretamente no navegador do utilizador, uma prática de segurança extremamente desaconselhada.
Uma vulnerabilidade fácil de adivinhar
Segundo os hackers, a descoberta da palavra-passe foi surpreendentemente simples, mas talvez nem fosse preciso encontrá-la. A utilização de "admin" como credencial é uma das primeiras tentativas em qualquer teste de penetração, dada a sua frequência em sistemas mal configurados. O mesmo acesso foi encontrado num sistema de controlo dos tablets usados no serviço de drive-thru.
Este incidente recorda um caso semelhante ocorrido em julho de 2025, quando foi revelado que o chatbot de recrutamento do McDonald’s utilizava a palavra-passe "123456", expondo os dados de candidatos a emprego.
Uma porta aberta a mais problemas
A palavra-passe "admin" era apenas a ponta do icebergue. Os investigadores encontraram outras vulnerabilidades graves, como um sistema de registo de contas totalmente aberto, que não exigia confirmação por email e enviava a palavra-passe em texto simples para o utilizador. Além disso, era possível gerar tokens de acesso que concediam privilégios de administrador a várias plataformas das lojas.
Dados de clientes e controlo de lojas em risco
Com este nível de acesso, os hackers conseguiram encontrar gravações de áudio de clientes nos pedidos do drive-thru, algumas das quais continham informações pessoais. Tinham ainda a capacidade de visualizar e editar contas de funcionários, controlar as interfaces dos tablets das lojas, encomendar equipamentos e até enviar notificações para os sistemas internos.
Num tom de brincadeira que ilustra a gravidade da situação, os hackers afirmaram que podiam "dar 5 estrelas a uma casa de banho em Tóquio enquanto estou de pijama em Ohio, nos Estados Unidos". Fiel à sua ética, a dupla não alterou nem guardou quaisquer dados, tendo apenas reportado as falhas à RBI.
RBI corrigiu em silêncio e tentou apagar a história
De acordo com o Tom's Hardware, a RBI não respondeu diretamente aos hackers, mas corrigiu os problemas de segurança no mesmo dia em que foi notificada. No entanto, quando BobDaHacker publicou os detalhes da descoberta no seu blog, recebeu uma notificação de infração de direitos de autor do Burger King, o que o levou a remover a publicação.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech
