Restaurants met tablets: hacken als toetje
Je komt het steeds vaker tegen in restaurants: een tablet die per tafel fungeert als digitale menukaart, en waarmee je zonder tussenkomst van bedienend personeel bestellingen kunt plaatsen. Super handig, met name in all-you-can-eat restaurants waar je gedurende een aantal rondes meerdere kleine gerechten per persoon kan bestellen. Vorige week vrijdag at ik samen met een aantal collega’s bij een Japans restaurant in het midden van het land en maakten we gebruik van zo’n tablet. Op basis van visuele kenmerken had ik meteen door dat het om een Windows tablet ging. Bij het ontgrendelen van de tablet voor een volgende bestelronde, viel me op dat de gebruikersnaam van de ingelogde gebruiker ‘beheer’ was. Mijn interesse was meteen gewekt, maar we spraken af om de nieuwsgierigheid nog even te onderdrukken en eerst op ons gemak te eten.
Tijdens het bestellen had ik uiteraard al de gelegenheid om de full screen bestelapplicatie te ervaren. Deze oogde vrij rommelig door allemaal extra knoppen en icoontjes waar je op kon klikken, maar die je voor het basis bestelproces eigenlijk niet nodig had. De invoermogelijkheden waren beperkt en er kwam geen schermtoetsenbord tevoorschijn. Het lukte niet om de bestelapplicatie af te sluiten en terug te keren naar het standaard Windows bureaublad met startknop. Na het eten kon ik eigenlijk nog maar één ding proberen, en dat was het simpelweg opnieuw opstarten van de tablet. Zo gezegd, zo gedaan. En eigenlijk was daarmee de “hack” al succesvol, want tot mijn verbazing kwam ik zonder wachtwoord als gebruiker ‘beheer’ terecht op het alom bekende Windows bureaublad. Daarna was het een kwestie van onderzoeken en ontdekken. Dat ging in enigszins chronologische volgorde als volgt:
- Geen internetverbinding op de tablet. Jammer, doorspitten.
- Gebruiker ‘beheer’ heeft lokale beheerrechten. Handig!
- Het Wi-Fi wachtwoord van het privé netwerk is (dankzij lokale beheerrechten) in te zien in de configuratie van Windows.
- Dat biedt mogelijkheden. Balen dat ik mijn laptop niet bij me heb, maar met mijn iPhone en Fing voer ik een snelle netwerkscan uit.
- Ik tref 60 hosts aan in het netwerk, waaronder: andere tablets, kassa’s, printers, verschillende pc’s/laptops, file server, router.
- Vanaf de tablet kan ik zonder wachtwoord inloggen op de webinterface van een printer. Ik kom geen vertrouwelijke informatie tegen, maar ik realiseer me dat iemand met kwade bedoelingen makkelijk een verstoring kan veroorzaken. Bijvoorbeeld door instellingen te veranderen en wél een wachtwoord in te stellen. Dat zou de printer onbruikbaar maken, en dat kan voor een restaurant tijdens de piekuren een behoorlijke impact hebben.
- Na het inschakelen van bestands- en printerdeling (met dank aan de lokale beheerrechten) stuit ik op een centrale share met afbeeldingen van de gerechten die op de tablets worden getoond. Inclusief schrijfrechten! Mijn collega’s en ik hebben de grootste lol vanwege de grappige scenario’s die door onze hoofden schieten, maar ook deze configuratiefout kan serieuze verstoringen veroorzaken. Bijvoorbeeld door het omwisselen van de plaatjes horend bij de gerechten. Klanten krijgen dan de verkeerde gerechten geserveerd.
Bovenstaande kostte me ongeveer 15 minuten, maar we waren helaas niet in gelegenheid om langer te blijven zitten en verder te neuzen. Wie weet wat ik met de juiste middelen en een beetje tijd had kunnen bereiken. Met het wachtwoord van het Wi-Fi netwerk op zak, zou ik mijn onderzoek zelfs op een ander moment en vanuit een nabije locatie voort kunnen zetten. Maar ik vond het wel mooi geweest, en vroeg naar de manager van het restaurant.
De assistent manager verscheen aan onze tafel, en ik gaf haar een korte uitleg van de bovenstaande bevindingen. Vervolgens waren we getuige van een typische ver-van-mijn-bed-show reactie; beetje glazige blik in de ogen en eigenlijk niet goed weten hoe te reageren. Haar impulsieve reactie was het het opnieuw opstarten van de bestelapplicatie met de mededeling dat we weer konden bestellen. De rest leek ze voor lief te nemen. Toen ik ernaar vroeg, gaf ze gelukkig wel aan dat dit niet de bedoeling was en dat er plannen waren om de bestelapplicatie te vernieuwen/vervangen. Daarna rondde ze het gesprek af, en ging ze weer verder met haar reguliere werkzaamheden. Ik verliet het restaurant met een dubbel gevoel.
Natuurlijk begrijp ik dat vrijdagavond prime time wellicht niet het juiste moment is om fatsoenlijk met elkaar te spreken over informatiebeveiliging. Daarnaast vermoed ik zelfs, dat ze de essentie van mijn boodschap niet heeft opgepikt. Een aantal feitelijkheden heeft ze mogelijk wel begrepen, maar ik denk niet dat ze zich realiseert wat er werkelijk aan de hand is, en wat de consequenties hiervan kunnen zijn. Dan kun je je natuurlijk afvragen in hoeverre je dit mag verwachten van een assistent manager in een restaurant, maar ik had op zijn minst verwacht dat ze zou vragen om mijn e-mailadres of telefoonnummer om er op een rustig moment nog eens op terug te komen. Ik ben van mening dat mensen zich die kop-in-het-zand-en-het-zal-allemaal-wel houding anno 2017 niet meer kunnen permitteren. Voor de zekerheid heb ik na het weekend nog een e-mail naar het restaurant gestuurd met wat tekst en uitleg. Ik ben benieuwd of ik er ooit nog een reactie op krijg. Als ik er weer ga eten, zorg ik in ieder geval dat ik mijn laptop bij me heb.
Plaats een Reactie
Meepraten?Draag gerust bij!