Hackeo a Burger King: logran monitorear el audio del drive-thru mediante una evasión de autenticación

 (bobdahacker.com)
1 puntos por GN⁺ 2025-09-07 | 1 comentarios | Compartir por WhatsApp
  • Un equipo de investigación en seguridad descubrió una vulnerabilidad de evasión de autenticación en el sistema de drive-thru de Burger King
  • Esta vulnerabilidad confirmó la posibilidad de acceso no autorizado al stream de audio del drive-thru
  • La falta de controles internos adecuados creó un entorno que permitía vigilancia en tiempo real
  • Un atacante podía recopilar directamente datos de voz sin necesidad de procedimientos complejos adicionales
  • Este caso volvió a poner sobre la mesa la importancia de la seguridad de la infraestructura de TI en la industria de restaurantes

Resumen del incidente

  • Un equipo de investigación en seguridad explotó una vulnerabilidad de evasión de autenticación en el sistema de audio del drive-thru de Burger King
  • La vulnerabilidad permitía que personas externas accedieran al stream de audio del sistema sin autenticación adicional

Método del ataque

  • La causa fue la falta de configuración de autenticación HTTP o una política de autenticación débil en la interfaz web
  • El atacante solo necesitaba conocer la dirección IP del sistema para confirmar la posibilidad de acceso directo a datos de audio

Impacto y riesgos

  • Esta vulnerabilidad elevó el riesgo de filtración de datos personales, incluido el monitoreo en tiempo real de conversaciones de clientes
  • Un atacante externo podía robar con facilidad el flujo operativo del negocio y la información de clientes

Implicaciones

  • Quedaron expuestos problemas en la gestión de dispositivos IoT y redes en los sectores de restaurantes y retail
  • Se hizo más evidente la necesidad de contar con sistemas de autenticación robustos y revisiones periódicas de seguridad

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-09-07
Comentarios de Hacker News

  • El blog no está accesible en este momento; en su lugar comparto el enlace de Web Archive

  • Viendo la historia completa, parece que este investigador de seguridad siguió las reglas de divulgación responsable y publicó el texto después de que corrigieran la vulnerabilidad, pero aun así no recibió ninguna respuesta de la empresa. Es decir, se asume que solo hay recompensa si existe un acuerdo previo, pero aunque parecía razonable esperarla, al final no hubo noticias. A mí también me pasó que encontré una vulnerabilidad de seguridad sensible en una startup conocida y la reporté con mucho detalle por varios correos siguiendo el proceso formal, pero solo recibí una invitación a HackerOne. Como los casos previos de recompensa rondaban los $2,000 y yo pensaba que mi hallazgo valía entre $10,000 y $50,000, tampoco tenía tiempo de redactar el informe formal que me pedían y no me pareció que valiera la pena hacerlo por $2,000. En casos así, me pregunto si yo también podría publicar una entrada de blog al respecto

    • En realidad sí recibió contacto de la empresa, pero al artículo le metieron una DMCA (aviso por infracción de derechos de autor). Incluso viendo la captura del correo no queda claro por qué sería una violación de la DMCA, así que parece un caso típico de abuso de DMCA. La empresa que generó esta solicitud de DMCA basada en IA incluso recibió inversión de Y-Combinator. Referencia
    • Para ser precisos, “divulgación responsable” debería expresarse como “divulgación coordinada” (coordinated disclosure), porque la palabra “responsable” tiende a hacer que cierta conducta parezca más moral
    • Sin regulación fuerte y capacidad de ejecución, esto no se va a acabar. En este momento es básicamente elegir entre pagar un bug bounty o asumir después un riesgo mayor por demandas o problemas de PR. Desde la perspectiva de la empresa, terminan eligiendo la opción de menor costo entre gastar dinero seguro ahora o enfrentar un riesgo incierto en el futuro. Si más adelante existiera una amenaza real de penalidades enormes por incidentes de seguridad —por ejemplo, una multa de $10 millones en vez de un bounty de $100,000— y si un CEO supiera que podría perder su casa por ignorar el reporte y beneficiarse económicamente, entonces sí pagarían el bounty. El peso del riesgo tiene que trasladarse a la empresa
    • Si publicas algo así de forma abierta, los comentarios o los titulares de prensa pueden difundirse de manera todavía más directa o burlona, y hasta podrían volverse virales a nivel nacional si no hay otra noticia en el momento. La historia de “no me pagaron” es algo con lo que cualquiera puede empatizar, así que para PR es una pésima decisión
    • Si el objetivo es hacer que las empresas tomen conciencia y paguen recompensas adecuadas, creo que publicarlo abiertamente también puede ser algo ético

  • Escuché que la publicación fue bajada porque Cloudflare recibió un reclamo DMCA. Tengo entendido que la DMCA tiene varias etapas; sé que la empresa de hosting se encarga de esto, pero si yo hiciera self-hosting sin Cloudflare, me pregunto qué pasaría. También me intriga si un aviso DMCA podría llegar a mi ISP o al proveedor del dominio

    • Me preguntaba por qué tenían tanta certeza de que era por la DMCA, pero revisé la publicación relacionada y ya entendí
    • Normalmente la DMCA se envía al ISP. Dependiendo del ISP, la reenvían al usuario o no. En otros tiempos (cuando la gente bajaba películas por torrent), esto pasaba más seguido porque los estudios mandaban avisos DMCA de forma masiva
    • En 2008~2009 operé varios servidores bare metal en SoftLayer (Dallas, TX), y entre los clientes había un foro de música latinoamericana. Si alguien subía un MP3, el datacenter bloqueaba el enrutamiento del tráfico hacia el servidor en cuanto recibía una solicitud DMCA. Ni me imagino qué herramientas existirán en 2025

  • Me hace pensar que grabar conversaciones en el drive-thru sin un aviso de grabación por separado podría ser el tipo de caso que a los abogados de estados de “consentimiento de ambas partes” les encantaría. Claro, podrían argumentar que al gritar en público no hay expectativa de privacidad, pero aun así lo veo como un riesgo legal

    • Grabar en un lugar público normalmente no genera responsabilidad legal aunque no haya consentimiento. Si es un lugar al que cualquiera puede entrar, como un drive-thru, se puede grabar sin permiso ni aviso por separado. Aun así, me enteré de que algunos estados prohíben incluso grabar en lugares públicos. Estas leyes todavía no han sido ratificadas ni anuladas por la Corte Suprema de EE. UU.
    • Me pregunto si incluso en un lugar público sigue siendo obligatorio obtener el consentimiento de ambas partes

  • Lo que más me sorprende es que exista un sistema que hasta define cómo deben hablar en el drive-thru. Les exige un tono positivo y frases de ánimo como “You rule”, pero desde el lado de quien trabaja ahí no parece realista mantener eso todo el tiempo. Más bien, en la práctica el cliente ya queda satisfecho si al menos le entregan correctamente parte de lo que pidió. Además, la calidad del sistema de audio suele ser tan mala que ni se nota si dijeron “You rule” o no. No entiendo por qué quieren microgestionar con este software a alguien que gana $6 la hora dando vuelta hamburguesas

    • Irónicamente, mientras peor pagado es el trabajo, más quisquillosos y estrictos suelen ser los gerentes. Por ejemplo, si eres desarrollador, ganas más de $100,000 al año y trabajas remoto, no pasa nada si faltas una semana por enfermedad; pero si eres trabajador por hora en un call center, te sancionan de inmediato si no avisaste con 48 horas de anticipación. Y si ya estás sancionado, ni siquiera te pagan la licencia por enfermedad. Si además no llevas comprobante médico, te despiden
      1. En realidad, no tiene nada de malo trabajar dando vuelta hamburguesas. 2) En esencia, esta es una estructura donde trabajadores mal pagados les imponen este tipo de tareas a otros trabajadores todavía peor pagados. Hace falta algo de empatía

  • Hace más de 40 años, en L.A., alguien descubrió que el kiosco de drive-up de Burger King estaba conectado al restaurante por un enlace de radio RF. Lograron identificar la frecuencia y el tipo de modulación, y pudieron usar la misma comunicación con un transceptor portátil. Montaron una videocámara en un estacionamiento cercano y grabaron un video gastándoles bromas a clientes del drive-thru, que terminó llamándose “Attack on a Burger King”. Estas personas eran ingenieros de radiodifusión y en aquella época incluso circularon el video dentro del estudio. Al final, sale un empleado corriendo hacia los clientes y los hackers les dicen en broma que huyan. No sé si ese video llegó a plataformas de streaming

    • Los antiguos headsets de drive-thru de comida rápida casi siempre usaban la banda comercial VHF. Un grupo llamado “Phone Losers of America” era famoso por este tipo de bromas. Video de referencia en YouTube “I'm in the freezer at QuikTrip!”

  • La frase “me enviaron la contraseña en texto plano por correo electrónico. Y eso en 2025. Casi da admiración la dedicación a hacer tan mal la seguridad” le daba todavía más gracia al tono sarcástico del texto

  • Solo por precisar: si te obligan a cambiar la contraseña en cuanto inicias sesión, no creo que enviar una contraseña temporal en texto plano por correo sea necesariamente un problema

  • Efectivamente, el blog también fue bajado, y confirmé una copia de respaldo en archive.is

  • Uf, es un caso realmente malo. Sí es bastante serio, pero este tipo de errores sigue pasando mucho incluso en grandes corporaciones. Estoy seguro de que debe haber decenas más de empresas enormes repitiendo exactamente este tipo de fallas