官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
汉堡王近日援引美国《数字千年版权法案》(DMCA),强制下架了一篇揭露其得来速"助手"系统严重漏洞的安全研究报告。此举引发关于企业滥用版权法压制正当网络安全披露的广泛争议。
核心事件要点
- 汉堡王母公司RBI已修复AWS Cognito系统中的漏洞
- 安全研究员遵循负披露流程仍遭DMCA下架
- 该事件导致原始报告在Mastodon等平台被大量转发
- 行业专家警告此举将阻碍安全研究透明度
漏洞技术细节曝光
网名为BobDaHacker的研究人员发现,这套基于AWS Cognito、仍处于测试阶段的"助手"平台存在多重安全隐患。在其题为《我们黑掉了汉堡王》的博客中,详细描述了以下漏洞:
- 身份验证缺陷:系统未实施有效验证机制,攻击者可随意注册账户
- 明文传输风险:用户凭证通过电子邮件以明文形式发送
- 权限提升漏洞:利用GraphQL变异操作可获取所有关联餐厅的管理员权限
获得系统控制权后,研究人员能够执行门店增删、员工账户管理、甚至直接操控得来速音频设备等敏感操作。
法律威胁引发反弹
尽管BobDaHacker在发现漏洞一小时内就通过负披露流程向汉堡王母公司Restaurant Brands International(RBI)报告,却收到威胁情报公司Cyble发出的下架通知。该通知指控研究员:
- 侵犯"汉堡王"商标权
- 宣扬非法活动
- 传播虚假信息
RBI发言人向信息安全媒体集团证实,该测试项目不存储客户身份信息或长期数据,仅用于"提升顾客服务体验"。公司虽确认已修复漏洞,但拒绝就法律通知置评。
行业强烈反响
DMCA通知发出数小时内,网络安全从业者纷纷在Mastodon等平台转发报告存档,形成典型的"史翠珊效应"。多位专家警告,企业将版权主张武器化来规避声誉风险的做法,将严重损害安全研究社区的良性互动。
值得注意的是,研究人员强调测试过程中未获取或外泄任何敏感客户数据。此次事件再次引发关于企业应如何正确处理安全漏洞披露的行业讨论。
参考来源:
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)