バーガーキングをハッキング!認証バイパスでドライブスルーの会話が筒抜けに?
引用元:https://news.ycombinator.com/item?id=45148944
ブログがダウンしてるみたいだね。
https://web.archive.org/web/20250906150322/https://bobdahack…
この話の裏には、セキュリティ研究者が責任ある開示ポリシーに従って脆弱性が修正されたのを確認してから記事を公開したけど、企業からは何の返答もなかった(報酬もなし)。
これって法的な意味合いや評判にどう影響するんだろう?
俺も以前、ある有名なスタートアップでヤバい脆弱性を見つけて、責任ある開示をしたんだ。
でも、HackerOneに招待されたら、報酬は数回しかなくて、しかもどれも2,000ドルくらい。
俺が見つけたのはもっと深刻で、1万~5万ドルくらいの価値があると思ったんだよね。
その時忙しかったから、2,000ドルじゃ割に合わないと思って、彼らが望むような正式な文書化はしなかった。
俺もこんな記事を投稿していいのかな?
細かいことを言うと、それは協調的開示を説明してるよ。
それを”責任ある”って呼ぶと、ベンダーと協調しないのが無責任だって偏見を与えることになる。
企業からはしっかり返答があったんだ。
彼らは記事をDMCAでテイクダウンしたんだよ。
https://infosec.exchange/@bobdahacker/115158347003096276
メールのスクリーンショットには詳細がないから、筆者がDMCAのどの部分を侵害したのかは分からないけど、これはよくあるDMCAの悪用って感じがする。
このAIが生成したテイクダウンは、Y-Combinatorが出資したCybleによって資金提供されたんだ。
https://cyble.com/press/cyble-recognized-among-ai-startups-f…
それは無責任だよ。
まだ解決されていない問題に注目を集めることで、ユーザーのデータが盗まれたり詐欺にあったりする可能性が高くなる。
どんなにセキュリティ意識の高い企業でも、脆弱性を修正するにはプロセスがあって、時間がかかるものだ。
ベンダーと責任を持って協調できない人物は絶対に雇わない。
ほとんどの場合、それは悪意があるか、判断力に完全に欠けてるかだね。
bobdajrhackerの場合は、その両方だよ。
俺はそれが責任ある開示だと思うな。
というか、そうしないのは無責任な開示だ。
早期開示で企業が損害を受けるかもしれないけど、それはどうでもいい。
それよりも、個人データを巨大企業に預けるのが避けられない社会で、何にも悪くないのに巻き添え被害に遭う普通の人たちが大勢いるんだ。
だから、企業が修正する合理的な機会を得る前に開示する人は、確かに無責任だよ。
まだ納得できないんだけど。
著作権が記事とどう関係するんだ?
ホワイトハットに適切な報酬を払うべきだというシグナルを送るなら、これは倫理的な行為だと主張するね。
そのシグナルって誰に届くの?バーガーキングはこれで損害を受けないだろうし、教訓も何も得ないと思うよ。バグは直すだろうけど、内部慣行を変えることも、バグバウンティを始めることもないだろうね。
一部の企業はシステムをいつまでも脆弱なままにするんだ。もし会社が1年経っても問題を修正しないなら、何もしないより公表する方が良い選択肢だろうね。
そうだね、だからレスポンシブル・ディスクロージャーにはほとんどの場合、期限が設けられているんだ。企業に問題を解決し、ユーザーへの影響を軽減する機会を与える。でも、もし彼らが時間がかかりすぎて、公開しない方がユーザーへの影響が大きくなるなら、すぐに公開するべきだ。
シグナルはハットたちに向けたものさ。ブラックハットは攻撃しやすくなるかもね。ホワイトハットはもっと良いことを見つけるだろうし、中にはハットを交換する者もいるかもしれない。
これは会社がフィードバックを受け入れる準備ができていると仮定しているようだね。今は改善されているかもしれないけど、何年も前は多くの会社への唯一の連絡先はカスタマーサービスだったよ。「うちのコンピューターに入っているってどういうこと?電話しているんでしょ!」ってね。
これはDMCAの悪用だよ。DMCAプロセスは実際の著作権侵害の場合にのみ合法的に使えるもので、道徳的な主張があるだけのコンテンツには使えないんだ。メールを見ると、「Original work」の欄がバーガーキングのウェブサイトへのリンクになっているのがわかるよ。
Cloudflareが偽のDMCAをYouTubeと同じように扱うなんて知らなかったよ。いつから!?
>DMCAプロセスは実際の著作権侵害の場合にのみ…
それは誤解だね。DMCAフォームが著作権にしか有効でないと考えるのは間違いなんだ。ウェブサイトはCloudflareの裏にあり、著者への連絡手段がDMCAフォームしかなかった。バーガーキングはこれを著者に法的に連絡し、紛争を始める手段として使ったんだよ。うまくいったし、合理的で合法的な使用だと思うね。
君が説明した「シグナル」は、僕が返信したコメントのそれとは全く違うものだよ。
ユーザーへの影響がめちゃくちゃデカいって判断したら、すぐに情報を公開するべきじゃない?
誰かYCに聞いてみてくんない?DMCAの悪用に対抗したり、賠償を求めたりするAIファーストの会社にYCが投資するかどうかさ。
すぐに公開するのがベストならそうしなよ。でも、そんなケースは珍しいと思うな。普通はさ、攻撃者にすぐ見つかりそうとか、会社がなかなか直さないとか、ユーザーが自分で身を守る方法があるとか、君の情報が多くの人に届くとか、いろんな条件が揃ってからじゃない?
ベンダーに報告してから問題が修正されるまでの間に、脆弱性のせいで被害に遭うユーザーはどうするんだよ?
即時公開か協調的開示かって二択だと決めつけてるだろ?“責任あること”をしても、報われないことが多いんだよ。もううんざりだから、特定の会社の製品で見つけた脆弱性は、これからは即時公開する。そうしないと、誰も開示しなくなって、それこそ無責任だろ。
暗黙の了解をもっとはっきりさせるべきだったな。「ホワイトハットにもっとお金を払うんじゃなくて…」って。それに、「…それが結果的に、間接的かつ長い目で見れば、君が返信したようなシグナルを生み出すんだ」って補足も必要だったかも。
この金融モデル、どんな感じかすごく気になるな。教えてほしい。
君がブランディングって呼んでるのは、実はただの意見だろ。ネガティブな意味合いがある「ブランディング」って言うのは、ちょっと偏ってるよ。
「ハッキングしたの?警察呼ぶからな。刑務所行きだ!」って言われて、実際に何年も刑務所に入ることだってあるんだぜ。時々、匿名でさ、勝手に公開する方が、長い目で見れば最高のセキュリティ結果につながることもあるんだよ。だって、セキュリティ研究者が刑務所に入ってたら、元も子もないだろ?
「会社がフィードバックを受け入れる準備ができてるって前提みたいだな」って言ってるけど、ブログ記事の最後にはこうあるぜ。Day 1、同じ日にRBIがコードレッドって言うより早く全部直したって。評価すべき点だよ。RBIの対応速度はマジで凄かったからな。
そうだよね。俺も中古のIoT医療機器の脆弱性を見つけたんだけど、ベンダーに連絡したら一方的なNDAを送ってきたんだ。笑っちゃうよね。
それがトレードオフなんだよな。脆弱性を猶予期間なしに広範囲に公開しちゃうと、元々知らなかった攻撃者でさえ、企業が対策するよりも早く悪用し始めるからね。
他の攻撃者がすでにこの脆弱性を見つけている可能性はどうやって判断するんだい?
もっとコメントを表示(1)
ドライブスルーの対応について、”you rule”って言わせたり、ポジティブなトーンを義務付けたり、バーガーキングがこんなシステムを持ってるってことに一番驚いたよ。最低賃金で働く従業員をなんでそこまで細かく管理する必要があるんだ?客は注文した商品がちゃんと入ってるだけで喜ぶのにさ。
最低賃金の仕事ほど、上司が厳しくて要求が多くなる傾向があるって皮肉だよね。在宅で高給のソフトウェア開発者なら、1週間休んでも「ゆっくり休んでね」だけど、コールセンターの最低賃金労働者だと、事前連絡なしの欠勤は即懲戒処分だもんね。みんなが懲戒処分中だから病気休暇も支払われないし、医師の診断書がないとクビだ。
それは、その仕事がどれだけ簡単に他の人に置き換えられるかどうかにかかってるってことだよ。
でも、正直その賃金で、ちゃんとした市民を雇うのは大変だと思うけどな。特に学校がやってる時はね。
ここにはU字型の曲線があると思うよ。主席ソフトウェアエンジニアまで上り詰めると、さらに長時間労働させられたり、会社のミッションのために個人の倫理観を曲げることを求められるかもしれないからね。
二つ言いたいことがあるよ。一つは、ハンバーガーを焼いて生計を立てることに何の問題もないってこと。もう一つは、これは彼らの仕事であって、多くの低賃金の人々が、さらに多くの低賃金の人々にやらせてるってこと。もう少し品位を持てよ。
ハンバーガーを焼いて生計を立てることに問題はないって言うけど、それが劣悪な労働環境で、まともな生活ができない状況に追い込まれるなら、それは問題だろ。特にアメリカではそれが普通なんだからさ。
価値判断はしてないけど、バーガーフリッパーがCMの決め台詞を言わなかったとして、どうやって罰するんだ?すでにバーガーフリッパーなんだから降格もないし。そんなシステムを作るのに金かける意味ある?
時給30ドル払えば、勝手に言うようになるだろ。それに実際、システムがあっても「you rule」って聞いたことないし、機能してないなら作る意味ないよ。
「ティーンエイジャーが経験を積む仕事だ」って?なるほどね!それで学校がある日は朝9時から夕方3時までファストフード店が閉まってるわけだ。全部納得したわ!
それはアブラハムの神じゃなくて、偉大なコーカシアンの神だったんじゃないかな。[1] https://youtu.be/RJiwovX3mNA
おお、これは本当に素晴らしいよ。あとこれもね: https://open.spotify.com/track/0YoYJw5URPqnGdOSnpeNnT?si=37a…
どうやら投稿はCloudflareへのDMCA申し立てで消えちゃったみたいだね。DMCA申し立てのいろんなレベルに興味があるよ。ホスティング会社は受け取るだろうけど、もしCloudflareを使わずに自分でホストしてたらどうなるんだ?ISPやドメインプロバイダーがDMCAを受け取るのかな?特に今回の件が気になるね。
これってDMCA申し立てのせいだってどうやってわかるんだ?編集:あー、もういいや。
> https://infosec.exchange/@bobdahacker/115158347003096276
たいていはそうだね、ISPに届くよ。で、ISP次第で君に転送されるかどうかだね。これは、映画会社がトレントをダウンロードしてる人に大量のDMCAを送るために業者を雇ってた時代には、もっとよくあったことだよ。
2008年から2009年頃、SoftLayer(テキサス州ダラス)の施設で、うちはたくさんのベアメタルサーバーを持ってたんだ。顧客の一人が南米の音楽フォーラムを運営してて、誰かがMP3をアップロードするたびに、データセンターはDMCA要求を受け入れて、問題解決までサーバーへのトラフィックを即停止してたんだよ。
さあ、2025年には彼らがどんなツールを持ってるか想像してみてよ。
俺がTorrentトラッカーを運営してたとき、一番デカかった費用は、DMCAを無視して首を突っ込んでくれるISPに金払うことだったな。
ドライブスルーでの音声録音、告知なしは二者同意州の弁護士にとっては格好のネタになりそうじゃない?
確かに公共の場所で機械に向かって叫んでるんだから、プライバシーの期待はないって主張できるかもだけど、俺にはリスクにしか見えないよ。
公共の場所での録音に二者同意って必要なの?
公共の場所でこっそり音声を録音することはできないんだよ。
アメリカではできるよ。
公共の場所でのビデオ録画は同意なしで許可されてる。
例えばCCTVなんかがそうだね。
州によって会話の録音に関する法律は違うんだよ。
一部の州では、会話の両当事者が録音に同意しなきゃいけないんだ。
詳しい情報はここを見てみて: https://www.justia.com/50-state-surveys/recording-phone-call…
それはプライベートな電話通話にだけ適用される話で、公共の場所には関係ないと思ってたんだけど、他のコメント見てたら、公共の場所での非同意な音声録音を禁止してる州もあるってわかったわ。
これらの法律は、US Supreme Courtで支持されたり覆されたりしてないみたいだね: https://www.dmlp.org/legal-guide/massachusetts-recording-law
裁判官がドライブスルーのスピーカーでの会話を、公共の場所じゃなくて、もっと電話通話に近いって見なす可能性は十分にあると思うな。
公共の場所ではプライバシーの期待はないし、ビデオは撮れるでしょ。
例えば、偶然音声も拾っちゃうセキュリティカメラとかね。
どの管轄での話?
法律を破るようなデバイスがあるからって、法律がなくなるわけじゃないんだからね。
カリフォルニア州では、同意なしの音声録音はダメなんだ。セキュリティカメラに音声オフ機能があるのはそのためだよ。みんな使わないけどね。広範囲な盗聴法が関係してるよ。
Katz対アメリカ合衆国(1967年)、Glik対Cunniffe(第一巡回区控訴裁判所 2011年)の判例があるよ。
同意なしに録音しても責任はないよ、公共の場所だからね。一般人がドライブスルーに入れるなら、何でも録音できるはず。
追記:一部の州では公共の場での同意なしの音声録音が禁止されてるって教えてもらった。https://www.dmlp.org/legal-guide/massachusetts-recording-law。最高裁ではまだ判断されてないけどね。
面白いことに、CCTV映像っていつも音がないみたい…。密かに音声を録音するのは、アメリカじゃ多くの場所で重罪だよ。
プライバシーの期待ってのが言いたかったんだ。ドライブスルーのスピーカーでの会話は、周りに聞かれるから私的じゃないけど、それでも免責事項を出す方がいいよ。訴えられたらお金かかるからね。
もっとコメントを表示(2)
<nerdsniped>誤解や誤情報で訴えられないように削除したよ。ここには誤情報らしいカリフォルニア州の法令へのリンクがあったんだ。俺は無知なレッドネックだって言われたからね。
私もだよ。文脈を広げると、あの判例がここで議論されてることに全然関係あるとは思えないな。
誤った情報を広めるのはやめてくれよ。この件についてはたくさんの裁判事例があるんだ。ちょっとGoogleで調べれば、何十もの判例を読めるよ。法的には公共の場所では「プライバシーの合理的な期待」はないし、唯一の制限は、公の場から私的な場所に極端な望遠レンズで見る場合だけだね。
編集: 他のコメンターが教えてくれたんだけど、一部の州では公共の場での非同意の音声録音を禁止しているみたいだね。
https://www.dmlp.org/legal-guide/massachusetts-recording-law
これらの録音を禁止する法律は、US Supreme Courtによって支持も覆しもされていないんだ。
それってかなり大ざっぱな言い方だよね。音声録音に全員の同意を求める州法(例えばCISAとかFSCAとか)と、君の意見はどうやって両立させるんだい?
残念だけど、君は間違ってるよ。公共の場所で警察を録音するのはもちろんOKだけど、それ以外だと、せいぜい君の地元の状況を過度に一般化してるだけだね。
[1] https://www.dmlp.org/legal-guide/massachusetts-recording-law
ドライブスルーの会話はKatz testのもとではプライベートじゃないから、「プライバシーの合理的な期待」はないんだよ。だからあの環境でのビデオや音声録音は合法なんだ。Katz testは、FBIがブースの外でドアを閉めたギャンブラーを録音したことで生まれたんだよね。ドライブスルーで注文してる人を録音しても誰も何もできないよ。
あの法律を読んだ?「当事者間で直接、または電報、電話、その他の機器(無線を除く)によって行われる秘密の通信」に適用されるんだよ。公共の会話は、その性質上「秘密」じゃないからね。君はこの法律をひどく誤解していて、知らずに誤った情報を広めているよ。
編集: 他のコメンターが教えてくれたんだけど、一部の州では公共の場での非同意の音声録音を禁止しているみたいだね。
https://www.dmlp.org/legal-guide/massachusetts-recording-law
これらの法律は、US Supreme Courtによって支持も覆しもされていないんだ。
編集: どうやら一部の州では、公共の場での非同意の音声録音を禁止しているようだね。
https://www.dmlp.org/legal-guide/massachusetts-recording-law
この法律は、US Supreme Courtによって支持も覆しもされていないよ。
レストランのドライブスルーって、一般に開放されてる私有地だよね。そこには法的な違いがあるかもしれないって思うな。
オーケー、わかったよ、俺が間違ってた!コメントを修正するね。Massachusetts州みたいな州レベルの規制を理解するのには時間がかかりそうだ。個人的にはこれがUS Supreme Courtの審判に耐えるとは思わないけど、どうやら公共の場での会話の秘密録音を禁止する最高裁の判決は、支持も否定もされてないみたいだね。
ユーザーが知らずに録音データベースを作るなんて、もしPIIが含まれてたらGDPR違反だね。それはバーガーキングにとってかなりの出費になるだろうよ。
編集: 他のコメンターが教えてくれたんだけど、一部の州では公共の場での非同意の音声録音を禁止しているんだね。
https://www.dmlp.org/legal-guide/massachusetts-recording-law
これらの法律は、US Supreme Courtによって支持も覆しもされていないらしい。
ドライブスルーで録音するのに令状がいるかの話なら議論するけど、これはHNの文脈と関係ないね。的外れな議論を持ち出してるだけじゃん。
アメリカの公共空間じゃ録音にプライバシーの権利は適用されないよ。YouTube動画や監視カメラが証拠だ。TeslaのSentry modeだってあるし。ただし、一部の州では非同意の録音が禁止されてて、その法律はUS Supreme Courtでは判断されてないみたいだね。
https://www.dmlp.org/legal-guide/massachusetts-recording-law
「2025年にパスワードを平文でメールしてくるなんて、ひどいセキュリティへのこだわりっぷりにただ感心するね」っていう皮肉たっぷりの言い回しがマジ最高だったよ!
あれ、記事がもう消えてるじゃん。「Blog post not found」だってさ。アーカイブリンクはここにあるよ!
https://archive.is/zIteR
関連リンクはこちらだよ!
https://infosec.exchange/@bobdahacker/115158347003096276
記事は「Burger KingからDMCAが来て削除した」って言ってたけど、DMCA報告はresponse@cycle.comからだったらしいよ。Cybleって会社がDMCAテイクダウンをサービスとして提供してるっぽいね。
https://cyble.com/
こっちのアーカイブリンクの方が、もしかしたらもっと長く見れるかもね!
https://web.archive.org/web/20250906150322/https://bobdahack…
細かいことだけど、一時パスワードが平文でメールされるのは別に問題ないんじゃない?ログインしたらすぐ変更しなきゃいけないなら、だけどね。
マジで面白かったのは、元々設定してたパスワードをメールで送ってくるところだったね。僕も2回経験あるけど、あれは「なんじゃこりゃ!」ってなる瞬間だったよ。
