ไม่ทน ! Burger King ขู่แฮกเกอร์ที่เขียนบล็อกเปิดโปงจุดอ่อนระบบของทางบริษัท ให้ลบบทความในทันที

บริษัทใหญ่ยักษ์หลายบริษัท มักจะมีจุดอ่อนในระบบที่เป็นช่องโหว่ระดับใหญ่ หรือใหญ่มาก จนไม่น่าให้อภัย อย่างเช่นในกรณีของบริษัทฟาสต์ฟู้ดชื่อดังอย่าง McDonald’s ก็ถูกกลุ่มแฮกเกอร์สายขาว (White Hat Hacker) ออกมาทั้งเตือนบริษัท ทั้งแฉว่าระบบมีช่องโหว่ที่อาจสร้างความเดือดร้อนให้ผู้คนที่ใช้บริการได้ คู่แข่งอย่าง Burger King ก็ถูกเปิดโปงเช่นเดียวกัน แต่ดูเหมือนรายนี้จะไม่ค่อยชอบสิ่งที่แฮกเกอร์ทำเท่าไหร่

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการที่ทางบริษัท Burger King ได้ออกมาทำการดำเนินคดี ด้วยการอ้างสิทธิ์จากกฎหมายคุ้มครองลิขสิทธิ์ดิจิทัลแห่งประเทศสหรัฐอเมริกา หรือ Digital Millennium Copyright Act (DMCA) เพื่อยับยั้งการเผยแพร่บล็อกที่มีการเขียนบทความเปิดโปงช่องโหว่ด้านความปลอดภัยของระบบผู้ช่วยสำหรับลูกค้าที่ขับรถเข้ามาสั่งซื้อ (Drive-Thru) ซึ่งในขณะนี้กำลังอยู่ในช่วงทดสอบ (Beta) ในสถานการณ์จริง ณ ร้าน Burger King และ Popeyes ตามสาขาที่กำหนดไว้

โดยนักวิจัยไซเบอร์ ทั้งยังเป็นแฮกเกอร์สายขาวที่เป็นประเด็นนั้น มีการใช้ชื่อว่า “BobDaHacker” ซึ่งเป็นบุคคลเดียวกันกับผู้ที่เคยได้ทำการแฮกระบบของ McDonald’s สำเร็จมาแล้วตามที่ทางทีมข่าวเคยได้ทำการนำเสนอข่าวนี้ในช่วงเดือนที่ผ่านมา ซึ่งแฮกเกอร์รายนี้ได้ทำการทั้งช่วยเหลือแผนก IT ของทาง McDonald’s ในการแก้ไขช่องโหว่ผ่านทางการแจ้งเตือน และเผยแพร่เรื่องช่องโหว่ดังกล่าวลงบล็อกของตัวเองในขณะเดียวกัน ซึ่งในคราวนั้นก็ไม่ได้มีการรายงานว่าจะมีปัญหาอะไร

แต่ในคราวนี้ หลังจากที่ทางแฮกเกอร์ได้ทำการแฮกระบบของทาง Burger King ได้สำเร็จ ก็ได้มีการเผยแพร่บทความเกี่ยวกับการแฮก และช่องโหว่ความปลอดภัยที่ตรวจพบบนบทความ “We Hacked Burger King.” โดยภายในบทความนั้นได้มีการกล่าวถึงปัญหาด้านความปลอดภัยภายในระบบของทาง Burger King มากมายหลายส่วน ของตัวระบบผู้ช่วย Drive Thru นี้ โดยเริ่มตั้งแต่

• การเปิดช่องให้ผู้ใดสามารถทำการลงทะเบียนผู้ใช้งาน (Sign Up) ได้โดยที่ระบบไม่มีการตรวจสอบตัวตนของผู้ใช้งานว่า เป็นผู้ที่มีสิทธิ์ในการลงทะเบียนเพื่อเข้าถึงระบบได้หรือไม่
• ตัวระบบมีการส่งรหัสผ่าน ที่ผู้ใช้งานทำการลงทะเบียนไว้ผ่านทางระบบอีเมล ด้วยการส่งเป็นข้อความแบบธรรมดาที่ไม่ได้มีการเข้ารหัสใด ๆ (Plain Text)
• แฮกเกอร์สามารถทำ Mutation ในส่วนของ GraphQL เพื่อเพิ่มสิทธิ์ให้บัญชีใช้งาน (Account) ของแฮกเกอร์มีสิทธิ์เป็นผู้ดูแลขั้นสูงสุดเพื่อเข้าถึงระบบดังกล่าวทาง Burger King ได้ โดยไม่ใช่แค่เพียงสาขาใดสาขาหนึ่ง แต่เป็นสาขาทั้งหมดที่มีการใช้งานระบบ Drive Thru Assistant นี้อยู่
• จากจุดนี้ แฮกเกอร์สามารถ เพิ่มหรือลบ รายชื่อพนักงานที่มีสิทธิ์ในการใช้งานระบบนี้ได้อย่างตามใจชอบ
• แฮกเกอร์ยังสามารถสื่อสารกับลูกค้าด้วยระบบเสียงของระบบผู้ช่วย Drive Thru จากระยะไกลได้อีกด้วย

ซึ่งช่องโหว่ชุดดังกล่าวเรียกได้ว่าทาง Burger King มีการจัดการระบบที่อ่อนแอมาก โดยหลังจากที่ทาง “BobDaHacker” ได้ทำการเผยแพร่บทความเกี่ยวกับช่องโหว่ดังกล่าวเป็นที่เรียบร้อยแล้ว ก็ได้มีการรายงานไปทาง Restaurant Brands International (RBI) ซึ่งเป็นบริษัทแม่ของทางแบรนด์ Burger King เกี่ยวกับการตรวจพบช่องโหว่ดังกล่าว พร้อมเรียกร้องให้มีการแก้ไข ตามหลักของการเป็นพลเมืองที่ดี ซึ่งการตอบกลับมานั้นเรียกว่าเร็วมาก เพราะใช้เวลาตอบกลับเพียง 1 ชั่วโมงหลังจากที่มีการส่งอีเมลไปเท่านั้น (ผิดกับกรณีของ McDonald’s ที่ใช้เวลาเพียงไม่กี่วัน) แต่การตอบกลับนั้นกลับไม่ได้มาจากทาง RBI โดยตรง แต่เป็นจากบริษัทด้านการจัดการความปลอดภัยไซเบอร์ Cyble (ซึ่งคาดว่าเป็นบริษัทผู้จัดการด้านความปลอดภัยให้ทาง RBI) ว่า ให้ทาง “BobDaHacker” ลบบทความดังกล่าวในทันที ในรูปแบบการแจ้งเตือนแบบ DMCA Notice

ซึ่งสิ่งที่ทาง RBI กล่าวหาทาง “BobDaHacker” ผ่านทางอีเมลของ Cyble นั้น เป็นการกล่าวหาว่าทางแฮกเกอร์ได้ละเมิดลิขสิทธิ์เครื่องหมายการค้าของทาง Burger King, เผยแพร่ข่าวปลอมผ่านทางบล็อก และยุยงส่งเสริมให้ผู้อื่นกระทำการที่ผิดกฎหมาย ทำให้ทาง “BobDaHacker” ไม่มีทางเลือกจนต้องลบบทความดังกล่าว แต่หลังจากที่ลบทิ้งแล้ว ก็เกิดปรากฏการณ์ใหม่ที่ทาง นักวิจัยด้านภัยไซเบอร์จำนวนมาก ได้มีการเผยแพร่สำเนาบทความดังกล่าวผ่านทางช่องทางอื่น ๆ แทน เช่น โซเชียลมีเดียตัวใหม่อย่าง Mastodon แทน ทำให้ความตั้งใจที่ทาง RBI ไม่ต้องการเห็นบทความนี้อีกต่อไป กลายเป็นถูกเผยแพร่อย่างแพร่หลายแทน

หลังจากเหตุการณ์ดังกล่าวเกิดขึ้น ทาง RBI ก็ได้แถลงเกี่ยวกับการพัฒนาเครื่องมือดังกล่าวว่า อยู่ในขั้นทดสอบเพื่อให้ทางทีมงานมีความคุ้นชินในการใช้งาน และให้บริการลูกค้าให้มีความน่าประทับใจยิ่งขึ้น แต่ก็ไม่ได้มีการกล่าวถึงเหตุการณ์การส่งจดหมายแจ้งเตือนให้ลบบทความดังกล่าวแต่อย่างใด ซึ่งสำหรับช่องโหว่ดังกล่าวข้างต้นนั้นทางแหล่งข่าวได้รายงานว่า ทาง RBI ได้ทำการอัปเดตระบบเพื่ออุดช่องโหว่เป็นที่เรียบร้อยแล้วในวันเดียวกันกับที่ทาง RBI ได้รับแจ้งถึงการมีอยู่ของช่องโหว่จากทางแฮกเกอร์

ทาง “BobDaHacker” เองก็ได้มีการออกมากล่าวว่า ระบบที่ถูกทดสอบดังกล่าวนั้นไม่ได้มีข้อมูลของลูกค้าถูกเก็บไว้ภายในระบบ หรือมีการดึงเอาข้อมูลลูกค้าออกมา (Exfiltration) แต่อย่างใด ขอให้ผู้ที่ติดตามข่าวทุกคนสบายใจได้