Les dernières semaines ont été difficiles pour les chaînes de burgers.
D'abord, le chatbot McHire de McDonald's a été découvert en train de distribuer des données de candidats via des API non sécurisées. Ensuite, Restaurant Brands International (RBI), qui regroupe Burger King, Tim Hortons et Popeyes, a vu ses API mises à mal par des attaquants qui ont découvert qu'ils pouvaient générer des jetons sans authentification, escalader les privilèges et même écouter en direct l'audio des bornes de commande au volant.
Quand les API deviennent l'ingrédient secret, les laisser sans protection est la recette du désastre.
Le Drive de la Perdition
Voici ce que les attaquants ont commandé sur le menu d'API non sécurisées de RBI :
- Inscriptions ouvertes : N'importe qui pouvait créer un compte (sans fioritures).
- Introspection GraphQL : Les schémas et les points d'accès de mutation accessibles comme un menu à petit prix.
- Jetons sans authentification : La
createTokenmutation a émis sans problème des identifiants sans vérifier l'identité. - Escalade de privilèges : Passer de client à administrateur était plus facile que « Voulez-vous agrandir votre commande ? »
- Accès à l'audio et aux données personnelles : Les attaquants pourraient littéralement intercepter votre commande au drive tout en récupérant les données clients.
Parallèlement, les API McHire de McDonald's servaient des CV et des données de candidats à l'emploi en douce. Loin d'être un joyeux festin.
Comment Salt Security aurait sauvé la mise
1. Découverte d'API : Fini le « menu secret »
Salt Illuminate détecte chaque API, qu'elle soit fantôme, zombie ou oubliée. Ce point de terminaison GraphQL que RBI a laissé traîner ? Nous l'aurions repéré avant les pirates.
2. Authentification : Fini l'accès anonyme
Aucune connexion requise pour createToken? Salt applique une authentification et une autorisation appropriées, de sorte que personne n'obtienne de passe-droit pour l'administration.
3. Analyse comportementale : Détecter les commandes suspectes
Inscriptions massives, farming de jetons, requêtes de chatbot étranges ? Salt repère les activités qui ressemblent moins à celles d'un client et plus à celles d'un pirate au comptoir.
4. Protection des données : Fini les données personnelles en accompagnement
Salt empêche que des données sensibles comme les CV, les cartes de crédit ou les fichiers audio soient servies aux mauvaises personnes. Parce que vos données ne devraient pas être servies avec des frites.
5. Protection en temps réel : Désolé, ce drive est fermé
Les attaquants comptent sur la vitesse et l'automatisation. Salt applique un blocage en temps réel et une limitation de débit, neutralisant les exploits avant que la commande ne soit terminée.
Le tableau d'ensemble
Qu'il s'agisse d'embaucher des employés ou de prendre des commandes au drive, les API font fonctionner l'entreprise. Le problème ? Elles sont souvent traitées comme des serviettes : distribuées librement, rarement inventoriées, et ne manquent que lorsqu'elles ont disparu.
Salt Security protège vos API afin que vous ne deveniez pas le prochain titre de brèche virale. Parce que rien ne ruine plus vite la fidélité à une marque que « Nous vous avons entendu commander vos nuggets. »
Conclusion
Les chaînes de restauration rapide se livrent concurrence sur les burgers, les frites et les applications de fidélité. Mais ces derniers temps, la compétition porte sur qui peut divulguer des données le plus rapidement. Avec Salt Security, vos API sont sécurisées, vos clients restent protégés et votre marque ne finit pas dans la friture.
Les API propulsent votre entreprise. Salt les protège.
Découvrez comment Salt Illuminate sécurise votre architecture API et arrête les failles de sécurité.
Si vous souhaitez en savoir plus sur Salt et comment nous pouvons vous accompagner dans votre parcours de sécurisation des API grâce à la découverte, la gouvernance de la posture et la protection contre les menaces en temps réel, veuillez nous contacter, demander une démo, ou consulter notre site web.
