{"id":11738,"date":"2025-09-15T12:00:06","date_gmt":"2025-09-15T15:00:06","guid":{"rendered":"https:\/\/fenati.org.br\/?p=11738"},"modified":"2025-09-15T15:49:11","modified_gmt":"2025-09-15T18:49:11","slug":"lojas-burger-king-eram-protegidas-senha-admin","status":"publish","type":"post","link":"https:\/\/fenati.org.br\/en\/lojas-burger-king-eram-protegidas-senha-admin\/","title":{"rendered":"Sistemas de lojas do Burger King eram protegidas com senha \u201cadmin\u201d"},"content":{"rendered":"<p><strong>Burger King &#8211;<\/strong> A controladora das marcas Burger King e <a href=\"https:\/\/pt.wikipedia.org\/wiki\/Popeyes\" rel=\"nofollow noopener\" target=\"_blank\">Popeyes<\/a> utilizava a senha \u201cadmin\u201d para proteger sistemas de tablets de drive-thru e uma plataforma de pedidos de equipamentos das lojas \u2014 e essa n\u00e3o era a \u00fanica vulnerabilidade encontrada nos servi\u00e7os da companhia.<\/p>\n<p>As falhas foram identificadas por BobDaHacker e BobTheShoplifter, que se apresentam como \u201chackers \u00e9ticos\u201d \u2014 profissionais que testam a seguran\u00e7a de sistemas para revelar brechas e alertar as empresas respons\u00e1veis.<\/p>\n<p><a href=\"https:\/\/fenati.org.br\/en\/guardiao-cibernetico-7-0-comeca-segunda-brasilia-belem\/\"><strong>LEIA: Guardi\u00e3o Cibern\u00e9tico 7.0 come\u00e7a nesta segunda em Bras\u00edlia e Bel\u00e9m<\/strong><\/a><\/p>\n<p>A descoberta coloca o Burger King em situa\u00e7\u00e3o semelhante \u00e0 de seus rivais. Em julho de 2025, por exemplo, foi revelado que o chatbot de recrutamento do McDonald\u2019s operava com a senha \u201c123456\u201d, o que permitia o acesso a cadastros de candidatos a vagas.<\/p>\n<p>As vulnerabilidades estavam em sistemas da Restaurant Brands International (RBI), controladora de Burger King, Popeyes e Tim Hortons. No Brasil, Burger King e Popeyes s\u00e3o administrados pela Zamp.<\/p>\n<p>De acordo com os hackers, encontrar a senha foi simples: ela estava vis\u00edvel no c\u00f3digo de um site usado para pedidos de equipamentos, com valida\u00e7\u00e3o feita diretamente no navegador. Mais grave ainda, a senha era apenas \u201cadmin\u201d, algo trivial de adivinhar. O mesmo acesso tamb\u00e9m protegia os tablets usados no drive-thru das lojas.<\/p>\n<p>Al\u00e9m disso, outros sistemas permitiam criar contas sem qualquer verifica\u00e7\u00e3o por e-mail, com senhas enviadas em texto simples. Tamb\u00e9m era poss\u00edvel gerar tokens que liberavam privil\u00e9gios de administrador em plataformas internas da rede.<\/p>\n<h4>Quais dados ficaram acess\u00edveis<\/h4>\n<p>Com esses acessos, os hackers conseguiram visualizar grava\u00e7\u00f5es de \u00e1udio de clientes no drive-thru, algumas delas contendo informa\u00e7\u00f5es pessoais.<\/p>\n<p>Eles tamb\u00e9m tiveram acesso a contas de funcion\u00e1rios, podiam manipular tablets de loja, solicitar equipamentos e at\u00e9 enviar notifica\u00e7\u00f5es internas. Em outro caso, um sistema usado para avaliar banheiros de unidades da rede tamb\u00e9m estava vulner\u00e1vel.<\/p>\n<p>Segundo os pr\u00f3prios hackers, por se considerarem \u00e9ticos, n\u00e3o armazenaram nem modificaram dados. Ainda assim, ironizaram: \u201cd\u00e1 para dar 5 estrelas para um banheiro em T\u00f3quio enquanto estou usando pijama em Ohio, nos Estados Unidos\u201d.<\/p>\n<p>A RBI n\u00e3o se manifestou publicamente sobre o caso, mas corrigiu as falhas no mesmo dia em que foi notificada. BobDaHacker chegou a publicar os detalhes t\u00e9cnicos em seu blog, por\u00e9m recebeu uma notifica\u00e7\u00e3o de infra\u00e7\u00e3o de direitos autorais do Burger King e decidiu remover o conte\u00fado.<\/p>\n<p><em><strong>(Com informa\u00e7\u00f5es de Converg\u00eancia Digital)<\/strong><\/em><br \/>\n<em><strong>(Foto: Reprodu\u00e7\u00e3o\/Freepik\/wyewien)<\/strong><\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>Descoberta coloca rede de fast-food em situa\u00e7\u00e3o semelhante \u00e0 do rival McDonald\u2019s, que utilizava a \u201c12345\u201d em seu chatbot de recrutamento<\/p>","protected":false},"author":11,"featured_media":11748,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[42],"tags":[13],"class_list":["post-11738","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","tag-sindical"],"_links":{"self":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/11738","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/comments?post=11738"}],"version-history":[{"count":3,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/11738\/revisions"}],"predecessor-version":[{"id":11749,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/11738\/revisions\/11749"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media\/11748"}],"wp:attachment":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media?parent=11738"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/categories?post=11738"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/tags?post=11738"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}