Вечер. Вы стоите в очереди к окошку еды с собой. За рулём кто-то нервничает: «Один Воппер, пожалуйста. И колу. Безо льда». Смешок. Кассир на том конце повторяет заказ, и вы даже не задумываетесь, что в этот момент где-то, возможно, на другом конце планеты сидит парень с ником BobTheShoplifter и с ухмылкой слушает вашу реплику.
Неужели я утрирую? К сожалению, нет.
Когда гиганты спотыкаются о мелочи
Burger King, Tim Hortons, Popeyes — все они входят в огромную корпорацию Restaurant Brands International. Миллиарды оборота, тысячи ресторанов по всему миру, сотни тысяч сотрудников. И вот это чудо-империя вдруг оказывается настолько дырявой в кибербезопасности, что даже школьный форум на phpBB выглядел бы надёжнее.
Хакеры (точнее, «белые хакеры» — те самые, кто ищет дыры ради того, чтобы предупредить, а не продать на чёрном рынке) нашли в их системах набор ошибок, от которых у любого айтишника случился бы нервный тик. Открытые API, пароли, прописанные прямо в HTML, дефолтные «admin» там, где их быть не должно.
Впечатляет, правда? Вопрос: это в Burger King так «готовят» только айти-бургер, или и котлеты тоже на таком же уровне контроля?
О чём вообще идёт речь
Вот вам картина. Есть цифровая платформа, которая управляет тысячами ресторанов. Она отвечает за всё: от учётных записей сотрудников до записи голосовых заказов для еды с собой. И эта система оказалась настолько плохо защищённой, что пара любопытных ребят, назвавших себя BobDaHacker и BobTheShoplifter, смогли буквально «прогуляться» по ней, как по открытым дверям.
Захотел — зарегистрировался без ограничений. Захотел — подтвердил почту без проверки. Захотел — послушал, как клиенты просят убрать лук из Воппера. Хочешь — меняй аккаунты сотрудников. Хочешь — заказывай оборудование в рестораны.
Ирония в том, что для такого доступа не понадобились сложные атаки, спецоборудование или месяцы брутфорса. Всё лежало на поверхности.
«admin/admin» как философия жизни
Когда читаешь про то, что пароли «админов» хранились в открытом виде, а некоторые устройства в ресторанах работали с предустановленным «admin», в голове возникает картинка: огромная корпорация, красивая реклама, яркие слоганы — и под всем этим детский уровень защиты.
Знаете это чувство, когда видишь богатый особняк с железными воротами, а калитка сбоку открыта нараспашку? Вот это оно.
И смешно, и страшно одновременно.
«Ну и что?» — спросите вы
Вы же не айтишник RBI, правильно? Вам-то зачем всё это знать?
А затем, что эта история о доверии. Мы доверяем брендам гораздо больше, чем сами осознаём. Качаем их приложения, оставляем там карты, адреса, телефоны. Впускаем их в свою цифровую жизнь. И искренне верим: «Ну, это же Burger King. У них всё надёжно».
А теперь реальность: даже у гигантов, у которых миллионы на рекламу и маркетинг, на безопасность может оставаться «сдача от покупки».
И тогда твоя карта, твои данные, твой голос в drive-thru становятся добычей для тех, кому просто повезло наткнуться на дырявый код.
Почему компании наступают на одни и те же грабли
Тут всё банально.
Скорость — важнее безопасности. Нужно быстрее выпустить приложение, подключить рестораны, внедрить новую систему лояльности. На проверку безопасности времени не остаётся.
Экономия. Хорошие специалисты по кибербезопасности стоят дорого. А зачем платить, если можно «и так сойдёт»?
Ну и вишенка: никто не верит, что «нас взломают». До тех пор, пока это не случается.
Но в случае с Burger King масштабы уже не про «случайность». Это как если бы авиакомпания решила экономить на болтах в самолётах: «Ну они же почти всегда держатся».
Хакеры-герои или просто везунчики?
Два исследователя, которые нашли дыры, повели себя честно. Они не стали продавать доступ, не сливали данные клиентов. Сообщили компании. Повели себя так, как и должны белые хакеры.
И знаете, что удивительно? Компания их, мягко говоря, не обняла и не поблагодарила публично. Сделала вид, что ничего не произошло.
То есть люди показали: «Ребята, у вас дверь настежь». А в ответ — тишина. И это тоже симптом: признать ошибку для корпорации страшнее, чем оставить её без внимания.
Доверие как новая валюта
Когда-то бренды конкурировали слоганами, вкусами и яркостью вывески. Сегодня они конкурируют доверием.
Мы больше не спрашиваем: «Вкусная ли кола?» Мы спрашиваем: «Безопасно ли привязать карту в их приложении?»
Мы не думаем: «Сочный ли бургер?» Мы думаем: «Не сольют ли мои данные вместе с этим бургером?»
И если даже мировые гиганты относятся к этому спустя рукава, что остаётся нам?
Что делать нам, простым смертным
Нет, мы не можем поменять пароли за Burger King. Но кое-что в наших силах.
— Не используйте один и тот же пароль везде. Да, это звучит как мантра, но именно она спасает, когда утечка из одного сервиса не тащит за собой остальные.
— Используйте виртуальные карты для покупок. Сегодня это бесплатно и удобно, а главное — безопаснее.
— Будьте скептичны. Даже крупный бренд не значит «железобетонная безопасность». Читайте, интересуйтесь, задавайте вопросы.
Потому что доверие — это не кнопка «согласен с политикой конфиденциальности». Это то, что мы отдаём компаниям каждый день.
Финалочка
Подумайте: сколько усилий корпорации тратят на красивую упаковку. Слоганы, постеры, реклама на билбордах. Они могут обернуть бургер в трёхслойную блестящую бумагу, чтобы он выглядел аппетитно.
Но когда дело доходит до ваших данных, та же компания использует «admin/admin».
Выходит, бургер завёрнут надёжнее, чем защищены ваши персональные данные.
Вместо морали
История Burger King — это не о том, что «айтишники профукали». Это о том, как бизнес до сих пор воспринимает безопасность как факультатив.
Но мир изменился. В XXI веке безопасность — это основа доверия. Без неё нет бренда, нет клиентов, нет будущего.
Так что в следующий раз, когда будете заказывать Воппер, задайте себе вопрос: кому вы доверяете больше — кассиру за окном или системе, которая хранит ваши данные?
И если ответ вас не радует — самое время задуматься.