Burger King ถูกแฮ็ก: ข้ามการยืนยันตัวตนเพื่อดักฟังเสียงไดรฟ์ทรูได้สำเร็จ

 (bobdahacker.com)
1 คะแนน โดย GN⁺ 2025-09-07 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ทีมนักวิจัยด้านความปลอดภัย พบ ช่องโหว่การข้ามการยืนยันตัวตน ในระบบไดรฟ์ทรูของ Burger King
  • ช่องโหว่นี้ทำให้ยืนยันได้ว่ามีความเป็นไปได้ในการ เข้าถึงสตรีมเสียงของไดรฟ์ทรู โดย ไม่ได้รับอนุญาต
  • การควบคุมภายในที่ไม่รัดกุมทำให้เกิดสภาพแวดล้อมที่สามารถ เฝ้าติดตามแบบเรียลไทม์ ได้
  • ผู้โจมตีสามารถเก็บรวบรวม ข้อมูลเสียง ได้โดยตรงโดยไม่ต้องผ่านขั้นตอนที่ซับซ้อนเพิ่มเติม
  • กรณีนี้เป็นอีกแรงกระตุ้นให้เห็นความสำคัญของ ความปลอดภัยของโครงสร้างพื้นฐาน IT ในธุรกิจร้านอาหาร

ภาพรวมของเหตุการณ์

  • ทีมนักวิจัยด้านความปลอดภัยใช้ประโยชน์จากช่องโหว่การข้ามการยืนยันตัวตนใน ระบบเสียงไดรฟ์ทรูของ Burger King
  • ช่องโหว่นี้ทำให้บุคคลภายนอกสามารถเชื่อมต่อกับ สตรีมเสียง ภายในระบบได้โดยไม่ต้องมีการยืนยันตัวตนเพิ่มเติม

วิธีการโจมตี

  • สาเหตุมาจาก ไม่ได้ตั้งค่า HTTP authentication หรือมี นโยบายการยืนยันตัวตนที่อ่อนแอ บนเว็บอินเทอร์เฟซ
  • ผู้โจมตีเพียงแค่รู้ IP address ของระบบ ก็อาจเข้าถึง ข้อมูลเสียงโดยตรง ได้

ผลกระทบและความเสี่ยง

  • ช่องโหว่นี้ทำให้เกิดความเสี่ยงด้านการรั่วไหลของข้อมูลส่วนบุคคล เช่น การ เฝ้าฟังบทสนทนาของลูกค้าแบบเรียลไทม์
  • ผู้โจมตีจากภายนอกอาจขโมย ขั้นตอนการดำเนินงานและข้อมูลลูกค้า ของสาขาได้โดยง่าย

ข้อสังเกตสำคัญ

  • เหตุการณ์นี้สะท้อนปัญหาในการจัดการ อุปกรณ์ IoT และเครือข่าย ของธุรกิจร้านอาหารและค้าปลีก
  • ความจำเป็นของ ระบบการยืนยันตัวตนที่แข็งแกร่งและการตรวจสอบความปลอดภัยเป็นประจำ เพิ่มสูงขึ้น

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-09-07
ความคิดเห็นจาก Hacker News

  • ตอนนี้บล็อกเข้าไม่ได้แล้ว เลยขอแชร์ ลิงก์ Web Archive แทน

  • พอดูเรื่องราวเบื้องหลังโพสต์นี้แล้ว ดูเหมือนว่านักวิจัยด้านความปลอดภัยรายนี้จะทำตามแนวทางการเปิดเผยอย่างมีความรับผิดชอบ และโพสต์หลังจากช่องโหว่ถูกแก้ไขแล้ว แต่สุดท้ายกลับไม่ได้รับการตอบกลับใดๆ จากบริษัทเลย กล่าวคือมีเงื่อนไขโดยนัยว่าต้องมีข้อตกลงล่วงหน้าจึงจะได้รางวัล แต่ถึงจะดูเหมือนมีเหตุให้คาดหวังรางวัล สุดท้ายก็เงียบหายไป ฉันเองก็เคยเจอช่องโหว่ความปลอดภัยที่อ่อนไหวในสตาร์ทอัพชื่อดัง และรายงานอย่างละเอียดผ่านอีเมลหลายฉบับตามขั้นตอนทางการ แต่ได้รับแค่คำเชิญไป HackerOne เท่านั้น จากกรณีจ่ายรางวัลก่อนหน้าที่ราว $2,000 ฉันมองว่าที่พบครั้งนั้นน่าจะอยู่ในช่วง $10,000~$50,000 แต่ตอนนั้นก็ไม่มีเวลามานั่งเขียนรายงานอย่างเป็นทางการตามที่เขาต้องการ และก็ไม่คิดว่าคุ้มจะทำเพราะแค่ $2,000 เลยสงสัยเหมือนกันว่าในกรณีแบบนี้ฉันจะเขียนโพสต์บล็อกเปิดเผยได้ไหม

    • จริงๆ แล้วมีการติดต่อจากบริษัทมา แต่กลับเป็น DMCA (การแจ้งละเมิดลิขสิทธิ์ดิจิทัล) ต่อโพสต์นั้น ถึงดูจากภาพแคปอีเมลก็ยังไม่ชัดว่าเข้าข่ายละเมิด DMCA ตรงไหน แต่ดูเหมือนเป็นกรณีใช้ DMCA ในทางที่ผิดแบบคลาสสิก บริษัทที่ทำคำขอ DMCA ด้วย AI นี้ยังได้รับเงินลงทุนจาก Y-Combinator ด้วย อ้างอิง
    • ถ้าจะพูดให้แม่น คำว่า "การเปิดเผยอย่างมีความรับผิดชอบ" น่าจะเรียกว่า "การเปิดเผยแบบประสานงานร่วมกัน (coordinated disclosure)" มากกว่า เพราะคำว่า “มีความรับผิดชอบ” มักทำให้การกระทำบางอย่างดูมีศีลธรรมเหนือกว่าโดยปริยาย
    • ถ้าไม่มีการกำกับดูแลที่เข้มงวดและการบังคับใช้ที่จริงจัง เรื่องแบบนี้ก็จะไม่จบ ตอนนี้มันเป็นการเลือกระหว่างจ่าย bug bounty ตอนนี้ หรือแบกรับความเสี่ยงที่ใหญ่กว่าในภายหลังจากคดีความหรือปัญหา PR สำหรับบริษัทแล้ว ต้นทุนที่แน่นอนในตอนนี้มักจะแพ้ตัวเลือกที่ดูถูกกว่าอย่างความเสี่ยงไม่แน่นอนในอนาคต ถ้าในอนาคตการละเลยรายงานความปลอดภัยนำไปสู่บทลงโทษมหาศาลจริงๆ เช่น ปรับ $10 ล้านแทนที่จะจ่าย bounty $100,000 หรือถ้า CEO รู้ว่าการเพิกเฉยต่อรายงานเพื่อเอาประโยชน์ทางการเงินแล้วถูกจับได้อาจทำให้ถึงขั้นเสียบ้านตัวเอง บริษัทก็จะยอมจ่าย bounty มากขึ้น ภาระความเสี่ยงต้องถูกย้ายกลับไปที่ฝั่งผู้ขาย
    • ถ้าเอาเรื่องแบบนี้ไปโพสต์สาธารณะ คอมเมนต์หรือพาดหัวข่าวอาจตรงไปตรงมาหรือมีโทนเยาะเย้ยมากขึ้น และถ้าช่วงนั้นไม่มีข่าวอื่นเด่นพอก็อาจไวรัลทั่วประเทศได้ เรื่อง “ไม่ได้รับค่าตอบแทน” เป็นมุมที่ใครๆ ก็เข้าใจร่วมได้ จึงเป็นทางเลือกด้าน PR ที่แย่
    • ถ้าจุดประสงค์คือทำให้บริษัทตระหนักว่าควรจ่าย bounty อย่างเหมาะสม ผมคิดว่าการโพสต์ต่อสาธารณะก็อาจเป็นสิ่งที่ทำได้อย่างมีจริยธรรม

  • ได้ยินมาว่าที่โพสต์ถูกถอดลงเป็นเพราะมีการยื่น DMCA claim ไปที่ Cloudflare เท่าที่เข้าใจ DMCA มีหลายขั้นตอน รู้ว่าโฮสติ้งบริษัทต้องจัดการ แต่ถ้าฉัน self-host โดยไม่ใช้ Cloudflare จะเป็นอย่างไร เลยยิ่งสงสัยว่าถ้าแบบนั้น DMCA จะถูกส่งไปที่ ISP หรือฝั่งโดเมนของฉันไหม

    • ตอนแรกสงสัยว่าทำไมถึงมั่นใจว่าเป็นเพราะ DMCA แต่พอเห็น โพสต์ที่เกี่ยวข้อง ก็เข้าใจแล้ว
    • ปกติ DMCA จะถูกส่งต่อไปยัง ISP ทั้งนี้ขึ้นกับ ISP ว่าจะส่งต่อให้ผู้ใช้หรือไม่ สมัยก่อน (ยุคโหลดหนังผ่าน torrent) ค่ายหนังก็ยิง DMCA แบบหว่านแห ทำให้เรื่องแบบนี้เกิดบ่อยกว่ามาก
    • ช่วงปี 2008~2009 ผมเคยรัน bare-metal server หลายเครื่องกับ SoftLayer (ดัลลัส, เท็กซัส) และมีลูกค้ารายหนึ่งเป็นฟอรัมเพลงละตินอเมริกา ถ้าใครอัปโหลด MP3 เข้ามา ศูนย์ข้อมูลจะตัดการ route ทราฟฟิกของเซิร์ฟเวอร์นั้นทันทีเมื่อได้รับคำขอ DMCA นึกไม่ออกเลยว่าพอถึงปี 2025 จะมีเครื่องมืออะไรโผล่มาอีก

  • การที่บทสนทนาใน drive-thru ถูกบันทึกโดยไม่มีการแจ้งเรื่องการอัดเสียงแยกต่างหาก ดูเหมือนจะเป็นคดีที่ทนายในรัฐแบบ 'all-party consent' น่าจะสนใจมาก แน่นอนว่าคงแย้งได้ว่าการตะโกนในที่สาธารณะไม่มีความคาดหวังเรื่องความเป็นส่วนตัว แต่ถึงอย่างนั้นก็มองว่ายังมีความเสี่ยงทางกฎหมาย

    • การอัดเสียงในที่สาธารณะโดยทั่วไปไม่ก่อความรับผิดทางกฎหมายแม้ไม่ได้รับความยินยอม ถ้าเป็นสถานที่ที่บุคคลทั่วไปสามารถเข้าไปใช้ drive-thru ได้ ก็สามารถบันทึกเสียงได้โดยไม่ต้องขออนุญาตหรือแจ้งล่วงหน้า แต่ก็เพิ่งรู้ว่า บางรัฐห้ามอัดเสียงแม้ในที่สาธารณะ และกฎหมายพวกนี้ก็ยังไม่เคยถูกศาลสูงสหรัฐวินิจฉัยให้คงไว้หรือยกเลิกอย่างเด็ดขาด
    • สงสัยว่าต่อให้เป็นที่สาธารณะก็ยังจำเป็นต้องได้ความยินยอมจากทุกฝ่ายจริงหรือไม่

  • สิ่งที่น่าตกใจที่สุดคือมีระบบที่กำหนดแม้กระทั่งวิธีการพูดคุยใน drive-thru มันบังคับให้ใช้น้ำเสียงเชิงบวกและพูดคำให้กำลังใจอย่าง "You rule" แต่ในมุมคนทำงานคงเป็นไปไม่ได้ที่จะเป็นแบบนั้นตลอดเวลา ที่จริงต่อให้ลูกค้าได้อาหารที่สั่งมาครบก็น่าจะพอใจแล้วด้วยซ้ำ แถมคุณภาพระบบเสียงก็มักแย่จนแทบแยกไม่ออกด้วยซ้ำว่าเป็น "You rule" หรืออะไร ผมไม่เข้าใจว่าทำไมต้องใช้ซอฟต์แวร์มาคุมจุกจิกคนที่ได้ค่าแรงชั่วโมงละ $6 เพื่อพลิกเบอร์เกอร์

    • น่าแดกดันที่ยิ่งงานค่าตอบแทนต่ำ ผู้จัดการก็มักยิ่งจุกจิกและเข้มงวด เช่น ถ้าคุณเป็นนักพัฒนาที่ได้เงินเกิน $100,000 ต่อปีและทำงานจากบ้าน การลาป่วยหนึ่งสัปดาห์แทบไม่ใช่ปัญหาอะไรเลย แต่ถ้าเป็นพนักงานคอลเซ็นเตอร์รายชั่วโมง ถ้าไม่แจ้งล่วงหน้า 48 ชั่วโมงก็อาจถูกลงโทษทันที แถมถ้าอยู่ในสถานะถูกลงโทษก็อาจไม่ได้รับค่าลาป่วยอีกด้วย ถ้าไม่มีใบรับรองแพทย์ก็อาจโดนไล่ออก
      1. ที่จริงการทำงานพลิกเบอร์เกอร์ไม่ได้มีอะไรแย่เลย 2) โดยเนื้อแท้แล้วนี่คือโครงสร้างที่แรงงานค่าแรงต่ำโยนงานแบบนี้ไปให้แรงงานที่ค่าแรงต่ำยิ่งกว่า ควรมีความเห็นอกเห็นใจกันบ้าง

  • เมื่อราว 40 ปีก่อน ที่ลอสแอนเจลิสมีคนพบว่า kiosk drive-up ของ Burger King เชื่อมกับร้านผ่าน RF wireless link เขาหาความถี่และรูปแบบ modulation จนสามารถใช้ transceiver แบบพกพาคุยผ่านระบบเดียวกันได้ จากนั้นก็ตั้งกล้องวิดีโอไว้ในลานจอดรถและถ่ายวิดีโอแกล้งลูกค้า drive-thru จนออกมาเป็นวิดีโอชื่อ "Attack on a Burger King" คนกลุ่มนี้เป็นวิศวกรกระจายเสียง และในตอนนั้นวิดีโอนี้ก็ถูกเปิดดูกันในสตูดิโอด้วย ตอนจบเป็นฉากที่พนักงานวิ่งออกมาและมุ่งหน้าไปทางลูกค้า ขณะที่แฮ็กเกอร์แกล้งตะโกนบอกลูกค้าให้หนี ไม่แน่ใจว่าวิดีโอนี้เคยถูกนำไปสตรีมหรือเปล่า

    • เมื่อก่อนชุดหูฟัง drive-thru ของร้านฟาสต์ฟู้ดส่วนใหญ่อยู่บนย่าน VHF business band กลุ่มที่ชื่อ "Phone Losers of America" ก็มีชื่อเสียงเรื่องการแกล้งแบบนี้ วิดีโอ YouTube ที่อ้างถึง "I'm in the freezer at QuikTrip!"

  • ประโยคประมาณว่า "พวกเขาส่งรหัสผ่านแบบ plain text มาทางอีเมล ในปี 2025 เนี่ยนะ ความมุ่งมั่นที่จะทำให้ระบบไม่ปลอดภัยนี่น่าประทับใจจริงๆ" เพิ่มความขำประชดประชันให้เรื่องนี้ได้ดี

  • จะว่าไป ถ้าระบบบังคับให้เปลี่ยนรหัสผ่านทันทีหลังล็อกอิน การส่งรหัสผ่านชั่วคราวแบบ plain text ทางอีเมลก็อาจไม่ใช่ปัญหาเสมอไป

  • เหมือนเดิม บล็อกถูกถอดลงแล้ว และมีการยืนยันเวอร์ชันสำรองผ่าน ลิงก์ archive.is

  • โอ้โห นี่เป็นกรณีที่แย่มาก ค่อนข้างร้ายแรงทีเดียว แต่ความผิดพลาดแบบนี้ก็ยังเกิดขึ้นบ่อยแม้แต่ในบริษัทใหญ่ๆ ผมมั่นใจว่ายังมีบริษัทยักษ์ใหญ่อีกเป็นสิบๆ แห่งที่ทำพลาดแบบเดียวกันซ้ำๆ อยู่แน่