Burger King olvida poner una contraseña en sus sistemas

Burger King, un gigante internacional de comida rápida con sede en EE. UU. con una presencia global de más de 19 mil restaurantes e ingresos de $ 1.8 mil millones.

Recientemente, el equipo de investigación de Cybernews descubrió que Burger King en Francia expuso credenciales confidenciales al público debido a una mala configuración en su sitio web.

En manos de actores malintencionados, las credenciales filtradas podrían haber servido como herramienta para realizar un ciberataque contra los sistemas de la cadena. Dado que el sitio web afectado sirvió para solicitudes de empleo, las personas que buscaron empleo en Burger King en Francia podrían haberse visto potencialmente afectadas.

No es la primera vez que Burger King filtra datos confidenciales. En 2019, debido a una mala configuración similar, la sucursal de Francia supuestamente filtró información de identificación personal (PII) de niños que compraron menús de Burger King.

Cybernews contactó a la empresa y solucionó el problema.

Credenciales de acceso público

El 1 de junio de 2023, el equipo de investigación de Cybernews descubrió un archivo de entorno de acceso público (.env) perteneciente al sitio web francés de Burger King, que contenía varias credenciales. El archivo estaba alojado en el subdominio utilizado para publicar ofertas de trabajo.

Aunque los datos filtrados en sí mismos no serían suficientes para obtener el control total del sitio web, podrían simplificar significativamente el proceso de una posible toma de control para los atacantes, especialmente si logran identificar otros puntos finales vulnerables.

Entre otros datos confidenciales, el archivo contenía credenciales para una base de datos. Si bien, por razones legales, los investigadores no pudieron verificar qué se almacenó exactamente en la base de datos, es probable que haya puestos de trabajo y tal vez otros datos ingresados ​​​​por los solicitantes.

La exposición de las credenciales de la base de datos es peligrosa, ya que un actor malicioso podría usarlas para conectarse a la base de datos y leer o modificar los datos almacenados en ella. Si un actor de amenazas puede encontrar y explotar una vulnerabilidad de ejecución de código PHP arbitrario dentro del sitio, las credenciales dentro de .env podrían permitir una extracción más fácil y sigilosa de la base de datos MySQL.

Otra información confidencial que observó el equipo de investigación incluía una ID de Google Tag Manager. Google Tag Manager es una herramienta que se utiliza para optimizar la actualización de códigos de medición y fragmentos de código relacionados, conocidos colectivamente como etiquetas, en un sitio web o aplicación móvil. El ID del administrador de etiquetas de Google especifica qué contenedor del administrador de etiquetas debe usar el sitio web.

Al mantener estas credenciales y combinarlas con otros puntos vulnerables en el sitio web, los atacantes podrían cambiar la identificación de la etiqueta a una identificación de su propio contenedor. Entonces podrían ejecutar código JavaScript arbitrario en el sitio web.

Corromper las métricas del sitio web

Finalmente, los investigadores encontraron una identificación de Google Analytics. Esto se utiliza para determinar qué tráfico debe registrarse y enviarse a la cuenta de Google Analytics asociada.

Un atacante podría explotar estos datos filtrados para configurar la ID en un sitio que controla y luego inundarlo con tráfico generado automáticamente. Esta afluencia abrumaría la cuenta asociada de Google Analytics, causando una interrupción y distorsión significativas del análisis de rendimiento del sitio web durante la duración del ataque.

Fuente: Cybernews