Peretasan Burger King: Pengawasan Audio Drive-Thru Berhasil lewat Bypass Otentikasi

 (bobdahacker.com)
1 poin oleh GN⁺ 2025-09-07 | 1 komentar | Bagikan ke WhatsApp
  • Sebuah tim peneliti keamanan menemukan kerentanan bypass otentikasi pada sistem drive-thru Burger King
  • Kerentanan ini menegaskan adanya kemungkinan akses tanpa izin ke stream audio drive-thru
  • Lemahnya kontrol internal menciptakan lingkungan yang memungkinkan pengawasan real-time
  • Penyerang dapat langsung mengumpulkan data suara tanpa prosedur rumit tambahan
  • Kasus ini menjadi momentum untuk kembali menyoroti pentingnya keamanan infrastruktur TI industri restoran

Ringkasan insiden

  • Tim peneliti keamanan mengeksploitasi kerentanan bypass otentikasi pada sistem audio drive-thru Burger King
  • Kerentanan tersebut memungkinkan pihak luar terhubung ke stream audio di dalam sistem tanpa otentikasi tambahan

Metode serangan

  • Penyebabnya adalah otentikasi HTTP yang tidak dikonfigurasi atau kebijakan otentikasi yang lemah pada antarmuka web
  • Penyerang hanya perlu mengetahui alamat IP sistem untuk membuka kemungkinan akses langsung ke data audio

Dampak dan risiko

  • Kerentanan semacam ini menimbulkan risiko kebocoran informasi pribadi, termasuk pemantauan percakapan pelanggan secara real-time
  • Penyerang dari luar dapat dengan mudah mencuri alur operasional bisnis dan informasi pelanggan

Implikasi

  • Kasus ini mengungkap masalah dalam praktik pengelolaan perangkat IoT dan jaringan di industri restoran dan ritel
  • Kebutuhan akan sistem otentikasi yang kuat dan pemeriksaan keamanan berkala semakin besar

Bacaan terkait

1 komentar

 
GN⁺ 2025-09-07
Komentar Hacker News

  • Blog-nya saat ini tidak bisa diakses, jadi saya bagikan tautan Web Archive

  • Kalau melihat cerita di baliknya, tampaknya peneliti keamanan ini sudah mengikuti aturan responsible disclosure dan mempublikasikan tulisannya setelah kerentanannya diperbaiki, tetapi tetap tidak menerima tanggapan apa pun dari perusahaan. Artinya, ada asumsi bahwa imbalan hanya diberikan jika ada kesepakatan sebelumnya, tetapi meski sempat ada harapan akan mendapat bayaran, pada akhirnya tidak ada kabar. Saya juga pernah menemukan kerentanan keamanan sensitif di startup ternama dan melaporkannya secara rinci lewat beberapa email sesuai prosedur resmi, tetapi setelah itu hanya menerima undangan HackerOne. Contoh bounty mereka sebelumnya sekitar $2,000, sedangkan menurut saya temuan saya bernilai $10,000~$50,000. Namun saya juga tidak punya waktu untuk menulis laporan resmi yang mereka minta, dan demi $2,000 saya merasa tidak sepadan. Dalam kasus seperti ini saya juga penasaran apakah saya boleh menulis posting blog publik

    • Sebenarnya ada kontak dari perusahaan, tetapi posting tersebut mendapat DMCA (laporan pelanggaran hak cipta digital). Bahkan kalau melihat screenshot emailnya pun tidak jelas kenapa itu dianggap pelanggaran DMCA, jadi ini tampak seperti contoh penyalahgunaan DMCA yang sangat khas. Perusahaan yang membuat permintaan DMCA berbasis AI ini juga menerima investasi dari Y-Combinator. Referensi
    • Lebih tepatnya, alih-alih "responsible disclosure", sebaiknya disebut "coordinated disclosure", karena istilah "responsible" cenderung membuat perilaku tertentu terlihat lebih bermoral
    • Tanpa regulasi yang kuat dan penegakan yang nyata, situasi seperti ini tidak akan berakhir. Sekarang pilihannya adalah membayar bug bounty, atau mengambil risiko yang lebih besar nanti berupa gugatan atau masalah PR. Dari sudut pandang perusahaan, mereka cenderung memilih biaya yang pasti dan langsung rendah dibanding risiko masa depan yang belum pasti. Jika di masa depan ada ancaman nyata seperti penalti besar akibat insiden keamanan—misalnya denda $10 juta alih-alih bounty $100 ribu—dan jika seorang CEO tahu bahwa mengabaikan laporan lalu ketahuan mengambil keuntungan finansial bisa membuatnya kehilangan rumah, mereka justru akan memilih membayar bounty. Beban risiko harus dipindahkan ke pihak vendor
    • Jika hal seperti ini dipublikasikan secara terbuka, komentar atau judul media bisa menyebar dengan nada yang lebih blak-blakan atau mengejek, dan ketika tidak ada berita besar lain, ini bisa viral secara nasional. Narasi "tidak dibayar" adalah sesuatu yang mudah dipahami semua orang, jadi dari sisi PR ini pilihan yang buruk
    • Jika tujuannya untuk menyadarkan perusahaan agar membayar bounty secara layak, saya rasa mempublikasikannya juga bisa menjadi tindakan yang etis

  • Saya dengar posting itu diturunkan karena ada klaim DMCA ke Cloudflare. Katanya DMCA punya beberapa tahap; saya paham kalau perusahaan hosting menanganinya, tetapi kalau saya self-host tanpa Cloudflare, saya penasaran apa yang akan terjadi. Saya juga lebih penasaran apakah DMCA akan dikirim ke ISP saya atau ke pihak domain

    • Awalnya saya penasaran kenapa bisa yakin ini karena DMCA, tetapi setelah melihat posting terkait saya jadi paham
    • Biasanya DMCA diteruskan ke ISP. Tergantung ISP-nya, ada yang meneruskannya ke pengguna dan ada yang tidak. Dulu (zaman orang mengunduh film lewat torrent), studio film sering mengirim DMCA secara massal, jadi hal seperti ini lebih umum terjadi
    • Pada 2008~2009 saya mengoperasikan beberapa server bare metal di SoftLayer (Dallas, TX), dan salah satu pelanggan saya adalah forum musik Amerika Selatan. Jika seseorang mengunggah MP3, data center akan menerima permintaan DMCA dan langsung memutus routing trafik ke server itu. Saya bahkan tidak bisa membayangkan alat seperti apa yang akan muncul pada 2025

  • Saya juga terpikir bahwa percakapan di drive-thru direkam tanpa pemberitahuan khusus, dan ini mungkin jenis kasus yang akan sangat disukai pengacara di negara bagian yang mewajibkan persetujuan kedua belah pihak. Tentu saja bisa dibantah bahwa berteriak di ruang publik tidak menimbulkan ekspektasi privasi, tetapi menurut saya ini tetap risiko hukum

    • Perekaman di tempat umum biasanya tidak menimbulkan tanggung jawab hukum meski tanpa persetujuan. Jika drive-thru adalah tempat yang bisa dimasuki masyarakat umum, perekaman bisa dilakukan tanpa izin atau pemberitahuan khusus. Namun, saya jadi tahu bahwa beberapa negara bagian melarang perekaman di tempat umum. Undang-undang seperti ini belum pernah benar-benar dipertahankan atau dibatalkan oleh Mahkamah Agung AS
    • Saya penasaran apakah di tempat umum pun persetujuan kedua pihak tetap wajib

  • Yang paling mengejutkan bagi saya adalah adanya sistem yang sampai mengatur cara orang berbicara di drive-thru. Sistem itu memaksa nada positif dan kalimat penyemangat seperti "You rule", padahal dari sudut pandang pekerja mustahil terus bersikap begitu sepanjang waktu. Dalam kenyataannya, pelanggan malah sudah cukup puas kalau makanan yang dipesan masuk semua dengan benar. Lagi pula kualitas sistem audionya sangat buruk sehingga sulit membedakan apakah orang bilang "You rule" atau tidak. Saya tidak mengerti kenapa pekerja dengan upah $6 per jam yang membalik burger harus di-micromanage dengan software seperti ini

    • Ironisnya, semakin rendah bayaran suatu pekerjaan, semakin cerewet dan ketat para manajernya. Misalnya, kalau Anda bekerja sebagai developer dengan gaji di atas $100 ribu per tahun dan work from home, sakit lalu libur seminggu biasanya bukan masalah sama sekali. Tapi kalau Anda kerja per jam di call center, kalau tidak memberi tahu 48 jam sebelumnya Anda bisa langsung kena tindakan disipliner. Bahkan kalau sudah dalam status disipliner, cuti sakit berbayar pun tidak diberikan. Kalau tidak membawa surat dokter, Anda bahkan bisa dipecat
      1. Sebenarnya, tidak ada yang buruk sama sekali dengan pekerjaan membalik burger. 2) Pada dasarnya ini adalah struktur di mana pekerja bergaji rendah melemparkan pekerjaan seperti ini kepada pekerja yang bergaji lebih rendah lagi. Perlu ada sedikit empati

  • Sekitar 40 tahun lalu di L.A., seseorang menemukan bahwa kios drive-up Burger King terhubung ke restoran melalui link radio RF. Setelah mengetahui frekuensi dan skema modulasinya, mereka bisa berkomunikasi lewat transceiver genggam dengan sistem yang sama. Mereka memasang camcorder di tempat parkir terdekat dan merekam video saat mengerjai pelanggan drive-thru. Video itu diberi judul "Attack on a Burger King". Orang-orang ini adalah engineer penyiaran, dan saat itu video tersebut juga diputar di dalam studio. Di akhir video, ada adegan pegawai keluar dan berlari ke arah pelanggan, sementara para peretas bercanda menyuruh pelanggan melarikan diri. Saya tidak tahu apakah video ini pernah sampai ke layanan streaming

    • Dulu headset drive-thru fast food kebanyakan memakai VHF business band. Kelompok bernama "Phone Losers of America" terkenal karena keisengan seperti ini. Video YouTube referensi "I'm in the freezer at QuikTrip!"

  • Kalimat yang penuh sarkasme, "Mereka mengirim kata sandi dalam bentuk plaintext lewat email. Di tahun 2025. Yang justru mengesankan adalah kegigihan mereka untuk tetap buruk dalam keamanan," benar-benar menambah kelucuan

  • Kalau mau sedikit mengoreksi, saya rasa mengirim kata sandi sementara dalam bentuk plaintext lewat email tidak selalu menjadi masalah, selama pengguna diwajibkan menggantinya segera setelah login

  • Ternyata blog-nya memang sudah turun, dan saya melihat versi cadangannya lewat tautan archive.is

  • Waduh, ini benar-benar contoh yang buruk. Memang cukup serius, tetapi kesalahan seperti ini masih sangat sering terjadi bahkan di perusahaan besar. Saya yakin masih ada puluhan perusahaan raksasa lain yang terus mengulangi kesalahan seperti ini