Burger King hack'i: Kimlik doğrulama atlatmasıyla drive-thru ses gözetimi başarıldı

 (bobdahacker.com)
1 puan yazan GN⁺ 2025-09-07 | 1 yorum | WhatsApp'ta paylaş
  • Bir güvenlik araştırma ekibi, Burger King'in drive-thru sisteminde bir kimlik doğrulama atlatma zafiyeti keşfetti
  • Bu zafiyetin, drive-thru ses akışına yetkisiz erişim olasılığı doğurduğu doğrulandı
  • Yetersiz iç kontroller, gerçek zamanlı gözetimin mümkün olduğu bir ortam oluşturdu
  • Saldırganlar, ek bir karmaşık prosedüre gerek kalmadan doğrudan ses verisi toplayabildi
  • Bu olay, yeme-içme sektörü BT altyapısı güvenliğinin önemini yeniden gündeme taşıdı

Olayın özeti

  • Bir güvenlik araştırma ekibi, Burger King drive-thru ses sistemindeki kimlik doğrulama atlatma zafiyetinden yararlandı
  • Söz konusu zafiyet, harici kişilerin ek doğrulama olmadan sistem içindeki ses akışına bağlanabilmesine olanak tanıdı

Saldırı yöntemi

  • Bunun nedeni HTTP kimlik doğrulamasının yapılandırılmamış olması veya web arayüzündeki zayıf kimlik doğrulama politikasıydı
  • Saldırganların, yalnızca sistemin IP adresini bilerek doğrudan ses verisine erişebileceği görüldü

Etki ve riskler

  • Bu zafiyet, müşteri konuşmalarının gerçek zamanlı izlenmesi gibi kişisel veri sızıntısı risklerini gündeme getirdi
  • Harici saldırganlar, işletmenin iş akışını ve müşteri bilgilerini kolayca çalabilir

Çıkarımlar

  • Yeme-içme ve perakende sektörlerinde IoT cihazları ile ağ yönetimi uygulamalarındaki sorunlar ortaya çıktı
  • Güçlü kimlik doğrulama sistemleri ve düzenli güvenlik denetimlerine duyulan ihtiyaç arttı

İlgili okumalar

1 yorum

 
GN⁺ 2025-09-07
Hacker News görüşü

  • Bloga şu anda erişilemiyor; onun yerine web arşivi bağlantısı paylaşılmış

  • Yazının arka planına bakınca, bu güvenlik araştırmacısının sorumlu ifşa kurallarına uyup zafiyet düzeltildikten sonra yazıyı yayımlamasına rağmen şirketten hiçbir yanıt alamamış gibi göründüğü anlaşılıyor. Yani ödül ancak önceden bir anlaşma varsa verilir gibi bir varsayım olsa da, ödül beklenmesine rağmen sonunda hiç haber alınmamış. Ben de tanınmış bir startup'ta hassas bir güvenlik açığı bulup resmi prosedüre göre birkaç e-postayla ayrıntılı rapor göndermiştim, ama sadece HackerOne daveti aldım; mevcut ödül örnekleri yaklaşık $2,000 olsa da benim bulgumun $10,000~$50,000 değerinde olduğunu düşünüyordum. Ancak istenen resmi raporu yazacak vaktim de yoktu ve $2,000 için özellikle uğraşmadım. Böyle bir durumda benim de kamuya açık bir blog yazısı yayımlamam uygun olur mu diye merak ediyorum

    • Aslında şirketten iletişim geldi, ama söz konusu yazı için bir DMCA (dijital telif hakkı ihlali bildirimi) gönderilmiş. E-posta ekran görüntülerine bakınca bunun hangi gerekçeyle DMCA ihlali sayıldığı belirsiz, ama tipik bir DMCA suistimali vakası gibi görünüyor. Bu yapay zeka tabanlı DMCA talebini oluşturan şirket de Y-Combinator yatırımı almış. Bkz.
    • Tam olarak söylemek gerekirse, "sorumlu ifşa" yerine "koordine ifşa (coordinated disclosure)" demek daha doğru; çünkü sorumlu ifşa ifadesi belirli davranışları olduğundan daha ahlaki gösterme eğilimi taşıyor
    • Güçlü düzenleme ve yaptırım olmadıkça bu durum bitmeyecek. Şu an mesele ya bug bounty ödemek ya da ileride dava ya da PR sorunlarıyla daha büyük risk üstlenmek. Şirket açısından bakınca, bugün kesin para harcamakla gelecekteki belirsiz risk arasında daha düşük maliyetli olan seçiliyor. Eğer gelecekte güvenlik olayı nedeniyle devasa cezalar, örneğin $100 bin bounty yerine $10 milyon ceza gibi gerçek bir tehdit oluşursa ve CEO da raporları görmezden gelip maddi kazanç sağlamaya çalışırken yakalanırsa evini bile kaybedebileceğini bilirse, o zaman bounty ödemeyi tercih eder. Risk yükünün ağırlığı satıcıya kaydırılmalı
    • Böyle şeyleri kamuya açık şekilde paylaşırsanız, yorumlar veya medya başlıkları daha doğrudan ya da alaycı bir tona bürünüp yayılabilir ve ortada zamanında başka haber yoksa ülke çapında viral olabilir. 'Ödülünü alamadı' hikâyesi herkesin empati kurabileceği bir şey, bu yüzden PR açısından kötü bir tercih
    • Amaç şirketlere uygun bounty ödemeleri gerektiğini hatırlatmaksa, bunu kamuya açık şekilde paylaşmanın etik olarak yapılabilir olduğunu düşünüyorum

  • Gönderinin kaldırılma sebebinin Cloudflare'a yapılan bir DMCA talebi olduğu söyleniyor. DMCA'nın birkaç aşaması olduğunu duymuştum; hosting şirketinin bunu işlemesini anlıyorum ama ben Cloudflare olmadan self-hosting yapsam ne olurdu diye merak ediyorum. Hatta DMCA'nın ISP'me ya da alan adı tarafına gidip gitmeyeceğini daha da çok merak ediyorum

    • Neden bunun DMCA yüzünden olduğundan emin olunduğunu merak etmiştim, ama ilgili paylaşımı görünce anladım
    • Genelde DMCA bildirimi ISP'ye iletilir. ISP'ye göre bunu kullanıcıya aktarırlar ya da aktarmazlar. Eskiden (torrent ile film indirilen dönemde) film şirketleri rastgele DMCA gönderdiği için bu daha yaygındı
    • 2008~2009'da SoftLayer'da (Dallas, TX) birkaç bare-metal sunucu işletiyordum ve müşterilerden biri Güney Amerika müzik forumuydu. Biri MP3 yüklediğinde veri merkezi DMCA talebini alır almaz sunucuya giden trafiğin yönlendirmesini kesiyordu. 2025'te ne tür araçlar çıkacağını artık hayal bile edemiyorum

  • Drive-thru'da ayrıca bir kayıt bildirimi olmadan konuşmaların kaydedilmesi, sözde 'iki tarafın da onayı gereken eyaletler' için iştah kabartıcı bir dava konusu olabilir diye düşünüyorum. Elbette bunun kamusal alanda yüksek sesle konuşmak olduğu ve mahremiyet beklentisi bulunmadığı savunulabilir, ama yine de hukuki risk görüyorum

    • Kamusal alanda kayıt almak için normalde onay gerekmiyor ve bu nedenle hukuki sorumluluk doğmuyor. Eğer sıradan bir kişinin drive-thru'ya girebildiği bir yerse, özel izin ya da bildirim olmadan kayıt yapılabilir. Ama sonradan bazı eyaletlerde kamusal alanda kayıt da yasak olduğunu öğrendim. Bu yasalar ABD Yüksek Mahkemesi tarafından hâlâ ne onanmış ne de bozulmuş durumda
    • Kamusal alanda bile gerçekten iki tarafın da onayı gerekip gerekmediğini merak ediyorum

  • En şaşırtıcı olan, drive-thru'da nasıl konuşulacağını bile belirleyen bir sistem olması. Pozitif ton ve "You rule" gibi motive edici ifadeler dayatılıyor, ama çalışan biri açısından bunun sürekli yapılması mümkün olmayabilir. Hatta çoğu zaman müşteri, sipariş ettiği ürünlerin tamamı doğru geldiyse zaten memnun oluyor. Gerçekte ses sistemi kalitesi de o kadar kötü ki bunun "You rule" olup olmadığını anlamak zor. Saatte $6'a burger çeviren birini böyle bir yazılımla mikro yönetmenin nedenini anlayamıyorum

    • İronik biçimde, işlerin ücreti ne kadar düşükse yöneticiler de o kadar daha talepkâr ve katı olma eğiliminde. Örneğin geliştirici olarak yılda $100 binden fazla kazanıp uzaktan çalışıyorsanız hastalanıp bir hafta izin almanız hiç sorun olmayabilir; ama çağrı merkezinde saatlik ücretle çalışıyorsanız 48 saat önceden haber vermezseniz doğrudan disiplin cezası alırsınız. Hatta disiplin sürecindeyseniz hastalık izni ücreti bile verilmez. Doktor raporu da getirmezseniz işten çıkarılırsınız
      1. Aslında burger çevirmek gibi bir iş yapmanın kötü hiçbir yanı yok. 2) Esas mesele, bunun düşük ücretli çalışanların daha da düşük ücretli çalışanlara bu işleri dayatması olması. Biraz anlayış gerekiyor

  • Yaklaşık 40 yıl önce L.A.'de biri, Burger King drive-up kioskunun restoranla RF kablosuz bağlantı üzerinden iletişim kurduğunu fark etmiş. Frekansı ve modülasyon yöntemini çözüp elde taşınabilen bir transceiver ile aynı iletişimi kurabilmiş. Yakındaki otoparka bir camcorder kurup drive-thru müşterilerine şaka yaparak musallat oldukları bir video çekmişler ve buna "Attack on a Burger King" adı verilmiş. Bu kişiler yayın mühendisleriydi ve video o dönemde stüdyo içinde de dolaşmış. Sonunda bir çalışan dışarı çıkıp müşteriye doğru koşuyor, hacker'lar da müşteriye kaçmasını söyleyerek şaka yapıyor. Bu videonun streaming platformlarına kadar ulaşıp ulaşmadığını bilmiyorum

    • Eski fast-food drive-thru kulaklıkları çoğunlukla VHF business band kullanıyordu. "Phone Losers of America" adlı grup bu tür şakalarıyla meşhurdu. İlgili YouTube videosu "I'm in the freezer at QuikTrip!"

  • "Parolayı düz metin olarak e-postayla göndermişler. Hem de 2025 yılında. Kötü güvenlik konusunda gösterilen bu adanmışlık etkileyici" şeklindeki alaycı ifade yazıya ayrı bir tat katmış

  • Ufak bir düzeltme yapmak gerekirse, giriş yapar yapmaz parolayı değiştirme zorunluluğu varsa düz metin geçici parolayı e-postayla göndermek mutlaka sorun değildir diye düşünüyorum

  • Evet, blog gerçekten kaldırılmış; yedek sürüm archive.is bağlantısında görülebiliyor

  • Vay canına, gerçekten kötü bir örnek. Oldukça ciddi ama bu tür hatalar büyük şirketlerde bile hâlâ çok sık yaşanıyor. Benzer hataları tekrarlayan daha onlarca dev şirket olduğuna eminim