Burger King ha invocado la Ley de Derechos de Autor Digital Millennium de EE. UU. (DMCA) para forzar la eliminación de la publicación de blog de un investigador de seguridad que expuso vulnerabilidades críticas en su sistema de “asistente”.
La medida ha causado un debate sobre el uso de la ley de derechos de autor para suprimir las revelaciones legítimas de ciberseguridad.
Control de llave
1. Burger King emitió un derribo DMCA de la investigación de defectos de AWS Cognito Drive-Thru.
2. RBI solucionó los errores, pero el derribo provocó una repostación generalizada.
3. Los críticos advierten que esto restringe la divulgación de seguridad abierta.
Burger King amenaza al hacker con acciones legales
Bobdahacker descubrió múltiples vulnerabilidades en la plataforma de “Asistente” todavía en beta, basada en AWS Cognito, que se está puso a prueba en las ubicaciones selectas de Burger King y Popeyes.
Un investigador escribió una publicación de blog llamada “Hacked Burger King”. En él, explicaron un problema de seguridad que permitió a cualquiera registrarse en una cuenta sin los cheques adecuados. Este defecto también resultó en enviar credenciales de usuario en texto sin formato por correo electrónico.
Explotando esto, Bobdahacker accedió a todo el sistema, aprovechando una mutación GraphQL para aumentar los privilegios de administrador en todos los restaurantes conectados.
A partir de esa ventaja, el investigador podría agregar o eliminar tiendas, ver y editar cuentas de empleados, e incluso interactuar con dispositivos de audio de transmisión.
A pesar de los siguientes protocolos de divulgación responsables, informando los fallas a Restaurant Brands International (RBI) solo una hora después del descubrimiento, Bobdahacker recibió un Aviso de derribo de la firma de inteligencia de amenazas Cyle.
El aviso alegó infracción de marca registrada y acusó al investigador de promover la actividad ilegal y difundir información falsa.
La queja, comercializada como “protección de la marca”, citó el uso no autorizado de la marca registrada “Burger King” y amenazó acciones legales bajo “competencia injusta bruta”.
A las pocas horas del aviso de DMCA, múltiples profesionales de seguridad cibernética comenzaron a compartir copias archivadas del informe original sobre Mastodon, invocando el efecto Streisand.
Las capturas de pantalla de Barbra Streisand meme referencias subrayaron la reacción contra el uso de DMCA para sofocar la investigación de seguridad.
Un portavoz de RBI dijo a Information Security Media Group que el programa asistente está en pruebas tempranas y no retiene ni identidades de los clientes ni datos a largo plazo.
“La intención de este programa de prueba es ayudar a los miembros del equipo a ofrecer una mejor experiencia de invitado”, decía el comunicado. RBI enfatizó las características, como la verificación de precisión del pedido y las notificaciones de equipos en tiempo real, pero se negó a comentar sobre el aviso legal o la participación de Cyble.
Bobdahacker sostiene que no se almacenaron o exfiltraron datos confidenciales del cliente durante las pruebas.
RBI parcheó los defectos informados el mismo día que Bobdahacker los reveló. Sin embargo, la acción de Swift DMCA ha planteado preocupaciones sobre si las empresas podrían armarse con los reclamos de derechos de autor para evitar daños en la reputación en lugar de interactuar con la comunidad de seguridad.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
