Geoff Huntley é um cidadão australiano que tem um histórico muito curioso com as máquinas de autoatendimento do McDonald’s. Ele afirma que elas são “muito fáceis” de serem hackeadas.
O sistema do McDonald’s é cômodo o suficiente para permitir que qualquer pessoa faça o seu pedido de forma simples e direta na loja. Porém, segundo Geoff, por contarem com o Windows 7 para o seu gerenciamento, podem ser manipuladas com facilidade.
Um pouco de manha e habilidade são suficientes para que esses quiosques de autoatendimento executem qualquer aplicativo, incluindo códigos maliciosos de software.
Com Windows 7, e totalmente desprotegidos
CVE-2022-244622: A local unauthenticated attacker within a @McDonalds could exploit this knowledge to pop calc.exe.
The default user on the terminals is Administrator and touch screen input is enabled. pic.twitter.com/uG1pXG6iYb
— geoff (@GeoffreyHuntley) July 22, 2022
Um ser humano não pode ser hackeado como uma tela de autoatendimento. No máximo podem ser subornados. E o McDonald’s deveria saber disso.
As telas de autoatendimento estão substituindo os atendentes humanos no McDonald’s de todo o mundo, e o que poderia ser uma economia de pessoal pode resultar em prejuízos absurdos se os hackers adotarem a moda criada por Huntley.
Se o quiosque recebe muitos pedidos, a máquina de papel dentro dela para imprimir a senha do pedido se esgota mais rápido. E quando isso acontece, os poucos funcionários do McDonald’s da Austrália optam por deixar o terminal desbloqueado para facilitar a troca do rolo do papel.
E é aqui que o quiosque fica desprotegido e vulnerável aos ataques hacker.
Esses terminais são basicamente computadores executando Windows 7 em modo de administrador. E quando abertos, você tem acesso às portas USB do equipamento, expondo a vulnerabilidade de hardware do quiosque.
Huntley mostrou como é fácil violar um desses terminais. Felizmente, tudo o que ele fez foi abrir a calculadora do Windows, mas usuários maliciosos podem hackear o quiosque para obter informações privadas ou manipular dados relevantes da loja ou dos pedidos dos clientes.
Se alguém instalar um malware em uma dessas máquinas, pode ficar com os dados sensíveis de muitas pessoas. Basta conectar um pendrive no equipamento ou entrar no modo de recuperação do sistema operacional.
O terminal é o responsável pela instalação de um firmware customizada para o leitor de cartões de crédito. Quando a interação com o usuário está ativa, é possível forçar o modo de recuperação no quiosque com um simples toque na tela.
Onde o McDonald’s está falhando neste caso?
Em tudo. Mas principalmente em dois pontos.
Huntley afirma que o McDonald’s falha em confiar que os terminais estão protegidos fisicamente para a execução do Windows 7 em modo de administrador.
Além disso, os erros persistentes da interface de usuário do seu sistema na hora de realizar um pedido resultam em bloqueio do número de pedidos dos clientes, o que resulta em pedidos que não foram solicitados também são um problema para a integridade e confiabilidade do seu sistema de autoatendimento.
Vindo de uma empresa gigante como o McDonald’s chega a ser algo vergonhoso. E se o mesmo acontecer no Brasil, a coisa vai sair de controle para a empresa, pois todo mundo sabe que o brasileiro é meio sem noção.
O país do “quero levar vantagem em tudo” vai querer Big Macs de graça em larga escala. E nem dá para culpar o brasileiro por isso: é o McDonald’s que está confiando demais em um sistema operacional que já deveria ter sido atualizado há muito tempo.