近日，包括汉堡王、Tim Hortons和Popeyes的母公司Restaurant Brands International (RBI)遭遇安全危机，其安全系统被道德黑客轻松攻破，暴露出诸多灾难性缺陷，引发行业对网络安全的广泛关注。需说明的是，当消费者通过相关网站链接购买产品时，网站可能会获得联属佣金。

硬编码密码现形，安全防线漏洞百出

两位道德黑客BobDaHacker和BobTheShoplifter近期披露，他们以惊人的轻松程度就访问了RBI公司的关键系统。在最初的博客被撤下后，相关内容现已存档，从中可清晰看到该快餐连锁品牌令人担忧的网络安全状况。

其中最令人震惊的发现之一，是在一个设备订购网站的HTML代码中存在硬编码密码。这已然是严重问题，更离谱的是，在免下车点餐平板系统中，密码竟简单设置为“admin”。如此弱凭证，即便通过最基本的杀毒软件检查和系统审计都应被发现，然而对于运营着超30,000家门店的全球性公司RBI来说，却长期被忽视，这不禁让人质疑其对数字安全保障的重视程度。

黑客们还详细解释了如何访问员工账户、内部配置，甚至获取免下车点餐对话的原始录音。这些录音有时包含顾客点餐时的个人信息，后续会被人工智能系统处理，用于评估员工和顾客表现。尽管道德黑客以负责任态度处理了这些信息，但此次访问权限的曝光，充分凸显了若落入不法分子之手可能带来的严重后果。

不仅如此，漏洞还延伸至业务的一些奇特角落。黑客团队发现了与餐厅洗手间评分屏幕相关的代码，虽他们开玩笑称可远程留下虚假评价，但最终仍坚守负责任披露原则，未进行恶意操作。不过，他们发现的范围之广，足以显示这些系统存在极大的开放性风险。

安全防御脆弱不堪，基础防护形同虚设

这两位道德黑客将RBI的安全性形容为“灾难性的”，称其“如同雨中潮湿的纸质皇堡包装袋一样坚固”，虽带有戏谑，但暴露的缺陷却真实存在且十分严重。

他们发现，RBI存在一个允许任何人无限制注册的API，并且公司内部电子邮件中包含明文密码。更严重的是，黑客甚至找到了在多个平台上授予自己管理员权限的方法。而这些问题，本可通过基本的勒索软件防护和良好的恶意软件清除策略来避免。

此次事件表明，RBI公司层面的安全基础被严重忽视，使得旗下每一个相关品牌都处于危险之中。

事后修复未获认可，反思改进存疑

据报道，在被告知相关安全问题后，RBI已对这些问题进行了修复。然而，该公司并未公开承认这两位道德黑客的贡献。这种沉默态度引发外界质疑，人们不禁思考，RBI是否真的从此次事件中吸取了教训，还是仅仅将其视为一次普通的漏洞修补，修补完后便继续按原方式运营。