Sistemas de lojas do Burger King eram protegidas com senha “admin”

Descoberta coloca rede de fast-food em situação semelhante à do rival McDonald’s, que utilizava a “12345” em seu chatbot de recrutamento

Burger King – A controladora das marcas Burger King e Popeyes utilizava a senha “admin” para proteger sistemas de tablets de drive-thru e uma plataforma de pedidos de equipamentos das lojas — e essa não era a única vulnerabilidade encontrada nos serviços da companhia.

As falhas foram identificadas por BobDaHacker e BobTheShoplifter, que se apresentam como “hackers éticos” — profissionais que testam a segurança de sistemas para revelar brechas e alertar as empresas responsáveis.

LEIA: Guardião Cibernético 7.0 começa nesta segunda em Brasília e Belém

A descoberta coloca o Burger King em situação semelhante à de seus rivais. Em julho de 2025, por exemplo, foi revelado que o chatbot de recrutamento do McDonald’s operava com a senha “123456”, o que permitia o acesso a cadastros de candidatos a vagas.

As vulnerabilidades estavam em sistemas da Restaurant Brands International (RBI), controladora de Burger King, Popeyes e Tim Hortons. No Brasil, Burger King e Popeyes são administrados pela Zamp.

De acordo com os hackers, encontrar a senha foi simples: ela estava visível no código de um site usado para pedidos de equipamentos, com validação feita diretamente no navegador. Mais grave ainda, a senha era apenas “admin”, algo trivial de adivinhar. O mesmo acesso também protegia os tablets usados no drive-thru das lojas.

Além disso, outros sistemas permitiam criar contas sem qualquer verificação por e-mail, com senhas enviadas em texto simples. Também era possível gerar tokens que liberavam privilégios de administrador em plataformas internas da rede.

Quais dados ficaram acessíveis

Com esses acessos, os hackers conseguiram visualizar gravações de áudio de clientes no drive-thru, algumas delas contendo informações pessoais.

Eles também tiveram acesso a contas de funcionários, podiam manipular tablets de loja, solicitar equipamentos e até enviar notificações internas. Em outro caso, um sistema usado para avaliar banheiros de unidades da rede também estava vulnerável.

Segundo os próprios hackers, por se considerarem éticos, não armazenaram nem modificaram dados. Ainda assim, ironizaram: “dá para dar 5 estrelas para um banheiro em Tóquio enquanto estou usando pijama em Ohio, nos Estados Unidos”.

A RBI não se manifestou publicamente sobre o caso, mas corrigiu as falhas no mesmo dia em que foi notificada. BobDaHacker chegou a publicar os detalhes técnicos em seu blog, porém recebeu uma notificação de infração de direitos autorais do Burger King e decidiu remover o conteúdo.

(Com informações de Convergência Digital)
(Foto: Reprodução/Divulgação)