Restaurant Brands International (RBI), matriz de Burger King, Tim Hortons y Popeyes, sufrió un fallo de seguridad en AWS Cognito que expuso datos sensibles, grabaciones de clientes y funciones internas críticas.

El error en AWS Cognito

El problema radicaba en no deshabilitar el registro por defecto de usuarios en AWS Cognito, permitiendo la creación de cuentas sin validación y el envío de contraseñas en texto plano. Un error básico para una empresa que gestiona más de 32.000 restaurantes en 120 países.

Impacto potencial

Con este acceso, un atacante podía:

• Escuchar grabaciones de pedidos de clientes en los drive-thru.
• Gestionar franquicias (añadir, eliminar, editar).
• Acceder a cuentas de empleados y datos de ventas.
• Enviar notificaciones masivas a restaurantes.
• Manipular pedidos y contraseñas expuestas en el HTML.

Grabaciones de clientes comprometidas

Los investigadores accedieron a audios de pedidos reales, que incluían información personal identificable. Estas grabaciones eran usadas para métricas de negocio mediante sistemas de inteligencia artificial, aumentando el riesgo de filtraciones y problemas legales.

Respuesta de RBI

La compañía corrigió las vulnerabilidades el mismo día del reporte, pero no emitió un comunicado oficial ni reconoció la labor de los hackers éticos que hicieron el hallazgo bajo responsible disclosure.

El incidente evidencia cómo un error de configuración en la nube puede convertirse en una amenaza global para la seguridad y privacidad.