Resumo
- O Burger King usava a senha “admin” em sistemas de tablets e pedidos, expondo áudios de drive-thru e dados de funcionários.
- Hackers éticos BobDaHacker e BobTheShoplifter descobriram falhas nos sistemas da Restaurant Brands International, incluindo cadastros sem verificação.
- A RBI corrigiu os problemas após alerta dos hackers, mas não respondeu diretamente; BobDaHacker removeu post após notificação de direitos autorais.
A dona das cadeias de fast food Burger King e Popeyes usava a senha “admin” em sistemas de controle dos tablets do drive thru e em um sistema de pedidos de máquinas para os restaurantes — e essas não eram as únicas falhas de segurança da empresa.
Os problemas foram descobertos e revelados por BobDaHacker e BobTheShoplifter. Eles se definem como “hackers éticos”, nome dado aos especialistas em cibersegurança que tentam invadir sistemas para descobrir vulnerabilidades e alertar responsáveis.
A descoberta coloca o Burger King no mesmo combo da concorrência: em julho de 2025, pesquisadores descobriram que o chatbot de contratação do McDonald’s usava a senha “123456”; com isso, era possível acessar cadastros de candidatos a vagas de emprego.
Como os hackers descobriram a senha “admin”?
Os problemas estavam nos sistemas da Restaurant Brands International (RBI) para três de suas marcas: Burger King, Popeyes e Tim Hortons. No Brasil, Burger King e Popeyes são operadas por outra empresa, a Zamp.
Segundo os hackers, encontrar a senha foi fácil: ela estava no código de um site de pedidos de equipamentos, e a verificação era feita no navegador do usuário.
Pior ainda é que talvez nem fosse preciso encontrá-la para conseguir acessar a página, já que era simplesmente “admin”, muito fácil de adivinhar. Outro sistema, de tablets de drive thru, usava a mesma senha.
Essa não era a única vulnerabilidade. Em outro sistema, o cadastro estava aberto, e havia outra forma de criar contas ainda mais fácil, sem confirmação de email e com envio de senha em texto simples. Também era possível gerar tokens e conseguir acesso de administrador a sistemas de lojas.
Quais informações estavam nesses sistemas?
Com esses acessos, os hackers descobriram gravações de áudio de clientes no drive thru, incluindo algumas com informações pessoais.
Além disso, eles conseguiam visualizar e editar contas de funcionários, acessar e controlar interfaces de tablets de lojas, pedir equipamentos e mandar notificações, entre outras possibilidades. Até mesmo um sistema para avaliar banheiros das lojas estava desprotegido.
Como BobDaHacker e BobTheShoplifter se definem como hackers éticos, eles não alteraram nem armazenaram nenhum dado — apenas avisaram a RBI sobre as falhas. Mesmo assim, brincaram: “dá para dar 5 estrelas para um banheiro em Tóquio enquanto estou usando pijama em Ohio, nos Estados Unidos”.
A RBI não deu resposta, mas corrigiu os problemas no mesmo dia. BobDaHacker publicou as informações em seu blog, mas recebeu uma notificação de infração de direitos autorais do Burger King e preferiu apagar o post.
Com informações do Tom’s Hardware
