Forwarded from /g/‘s Tech Memes (krust <3)
This media is not supported in your browser
VIEW IN TELEGRAM
Forwarded from Технологический Болт Генона
Пост о том как Burger King разломали
We Hacked Burger King: How Authentication Bypass Led to Drive-Thru Audio Surveillance
https://web.archive.org/web/20250906150322/https://bobdahacker.com/blog/rbi-hacked-drive-thrus/
Оригинальный пост https://bobdahacker.com/blog/rbi-hacked-drive-thrus/ дропнули по DMCA, теперь то точно инфраструктура Burger King будет в безопасности
> We received a DMCA copyright infringement complaint from Cyble Inc., acting on behalf of Burger King, regarding our blog post about Restaurant Brands International's drive-thru system vulnerabilities.
The complaint alleges trademark infringement and claims the content "promotes illegal activity and spreads false information."
Кратко тут, например (но крайне рекомендую оригинальный пост)
Пароль "Admin" открыл двери в империю Burger King для любого хакера. Четыре буквы стали ключом к 30 тысячам ресторанов
https://www.securitylab.ru/news/563201.php
Такого я давненько не видел
> Ошибки встречались и в других сервисах RBI. В системе заказа оборудования пароль оказался жёстко прописан в коде HTML. На планшетах для обслуживания клиентов в «драйв-тру» использовался пароль admin.
Но там везде всё плохо
> Using GraphQL introspection (because who doesn't love a good schema leak), we found an even easier signup endpoint that completely bypassed email verification. It was like finding a secret menu item, except this one came with user privileges.
We Hacked Burger King: How Authentication Bypass Led to Drive-Thru Audio Surveillance
https://web.archive.org/web/20250906150322/https://bobdahacker.com/blog/rbi-hacked-drive-thrus/
Оригинальный пост https://bobdahacker.com/blog/rbi-hacked-drive-thrus/ дропнули по DMCA, теперь то точно инфраструктура Burger King будет в безопасности
> We received a DMCA copyright infringement complaint from Cyble Inc., acting on behalf of Burger King, regarding our blog post about Restaurant Brands International's drive-thru system vulnerabilities.
The complaint alleges trademark infringement and claims the content "promotes illegal activity and spreads false information."
Кратко тут, например (но крайне рекомендую оригинальный пост)
Пароль "Admin" открыл двери в империю Burger King для любого хакера. Четыре буквы стали ключом к 30 тысячам ресторанов
https://www.securitylab.ru/news/563201.php
Такого я давненько не видел
> Ошибки встречались и в других сервисах RBI. В системе заказа оборудования пароль оказался жёстко прописан в коде HTML. На планшетах для обслуживания клиентов в «драйв-тру» использовался пароль admin.
Но там везде всё плохо
> Using GraphQL introspection (because who doesn't love a good schema leak), we found an even easier signup endpoint that completely bypassed email verification. It was like finding a secret menu item, except this one came with user privileges.
mutation SignUp {
signUp(input: { email: "[email protected]", password: "password123" })
}❤1
Forwarded from Технологический Болт Генона
Библиотека libxml2 осталась без сопровождающего
https://www.opennet.ru/opennews/art.shtml?num=63886
Ник Велнхофер (Nick Wellnhofer) объявил об уходе с поста сопровождающего библиотеку libxml2. Ник принимал участие в разработке libxml2 с 2016 года, был добавлен в число сопровождающих в 2022 году и с того времени оставался практически единственным активным разработчиком. После ухода Ника проект остался без сопровождения.
Библиотека libxml2 используется в операционных системах и продуктах компаний Apple, Google и Microsoft. Из открытых пакетов, упоминающих libxml2 в числе зависимостях, можно отметить GNOME, Xfce, Mate, Cinnamon, Budgie, LibreOffice, Epiphany, libvirt, BIND, VirtualBox, lldb, Flatpak, Evolution, clang-tools, xsltproc, PostgreSQL, Pacemaker, Apache httpd, Zypper, Scribus.
В июне Ник Велнхофер снял с себя полномочия сопровождающего библиотеку libxslt и отказался от особого отношения к устранению уязвимостей - стал трактовать уязвимости в libxml2 как обычные ошибки, рассматриваемые по мере появления свободного времени. Ник также раскритиковал предъявление компаниями дополнительных требований к сопровождающим-волонтёрам, работающим без компенсации.
> работающим без компенсации
Тут Selectel предлагает libxml2 переписать за компенсацию 🌝
Стоимость — 350 000 ₽
Описание
Библиотека парсера xml, хотя сам формат не очень популярен сейчас, однако много старого ПО завязана на libxml2.
Зачем надо переписать
Уязвимости в libxml ставят под угрозу разнообразное ПО для десктопа и сервера, и даже мобильных устройств. Библиотека активно используется в Android.
Особенности
Перенесены тесты из оригинального libxml2. Функциональность соответствует такой же у libxml2 со сборочными опциями в пакете debian
https://promo.selectel.ru/openfix
А так же там ещё c-ares и xz
https://www.opennet.ru/opennews/art.shtml?num=63886
Ник Велнхофер (Nick Wellnhofer) объявил об уходе с поста сопровождающего библиотеку libxml2. Ник принимал участие в разработке libxml2 с 2016 года, был добавлен в число сопровождающих в 2022 году и с того времени оставался практически единственным активным разработчиком. После ухода Ника проект остался без сопровождения.
Библиотека libxml2 используется в операционных системах и продуктах компаний Apple, Google и Microsoft. Из открытых пакетов, упоминающих libxml2 в числе зависимостях, можно отметить GNOME, Xfce, Mate, Cinnamon, Budgie, LibreOffice, Epiphany, libvirt, BIND, VirtualBox, lldb, Flatpak, Evolution, clang-tools, xsltproc, PostgreSQL, Pacemaker, Apache httpd, Zypper, Scribus.
В июне Ник Велнхофер снял с себя полномочия сопровождающего библиотеку libxslt и отказался от особого отношения к устранению уязвимостей - стал трактовать уязвимости в libxml2 как обычные ошибки, рассматриваемые по мере появления свободного времени. Ник также раскритиковал предъявление компаниями дополнительных требований к сопровождающим-волонтёрам, работающим без компенсации.
> работающим без компенсации
Тут Selectel предлагает libxml2 переписать за компенсацию 🌝
Стоимость — 350 000 ₽
Описание
Библиотека парсера xml, хотя сам формат не очень популярен сейчас, однако много старого ПО завязана на libxml2.
Зачем надо переписать
Уязвимости в libxml ставят под угрозу разнообразное ПО для десктопа и сервера, и даже мобильных устройств. Библиотека активно используется в Android.
Особенности
Перенесены тесты из оригинального libxml2. Функциональность соответствует такой же у libxml2 со сборочными опциями в пакете debian
https://promo.selectel.ru/openfix
А так же там ещё c-ares и xz