汉堡王利用DMCA投诉下架了一篇详细描述得来速系统安全漏洞的博客文章

汉堡王依据《美国数字千年版权法》（DMCA），要求移除一名安全研究员的博客文章，该文章曝光了其得来速“助手”系统中的严重漏洞。

此举引发了一场关于是否应利用版权法来压制合法网络安全披露的争论。

1. 汉堡王（Burger King）依据《数字千年版权法》（DMCA）发出下架通知，要求移除有关亚马逊云服务（AWS）身份验证服务（Cognito）得来速（drive-thru）系统漏洞的研究内容。

   （说明：DMCA 全称为 Digital Millennium Copyright Act，是美国重要的版权保护法律，“takedown” 在此处特指 “版权下架请求”，即要求平台移除涉嫌侵权或争议内容；AWS Cognito 是亚马逊云服务旗下用于用户身份验证、授权的工具，“drive-thru” 为餐饮行业术语，指 “得来速” 服务模式，用户无需下车即可完成点餐、取餐，此处对应该服务相关的系统。）

2. 亚马逊云服务（AWS）团队修复了这些漏洞，但此次下架操作引发了（该研究内容的）大规模重新传播。

   （说明：结合上下文，原文 “RBI” 应为 “AWS” 的笔误或缩写混淆，因漏洞所属的 AWS Cognito 服务由亚马逊运营，修复主体应为亚马逊云服务团队；“reposting” 指研究内容被安全社区、网友等再次发布、分享，体现下架行为反而扩大了信息传播范围。）

3. 批评人士警告，此举会限制公开的安全漏洞披露（行为）。

   （说明：“open security disclosure” 即 “公开安全披露”，是网络安全领域的常见实践 —— 安全研究人员发现企业系统漏洞后，通过公开渠道告知企业及公众，推动漏洞修复以降低安全风险；批评人士认为汉堡王的下架行为违背了这一原则，可能导致漏洞信息被掩盖，反而增加安全隐患。）

汉堡王以法律行动威胁黑客

BobDaHacker在仍处于测试阶段的“Assistant”平台上发现了多个漏洞，该平台基于AWS Cognito构建，目前正在部分汉堡王和派派思门店试点使用。

一位研究人员写了一篇名为《我们黑进了汉堡王》的博客文章。在文章中，他们解释了一个安全问题，该问题使得任何人都能在没有适当检查的情况下注册账户。这个漏洞还导致用户凭证通过电子邮件以明文形式发送。

利用这一点，BobDaHacker入侵了整个系统，并利用GraphQL变异在所有关联餐厅中提升至管理员权限。

从那个有利位置，研究人员可以添加或移除门店、查看和编辑员工账户，甚至能与得来速的音频设备进行交互。

尽管遵循了负责任的披露协议，并在发现漏洞后仅一小时就向国际餐饮品牌（RBI）报告了这些缺陷，但BobDaHacker还是收到了威胁情报公司Cyble的下架通知。

该通知指控存在商标侵权行为，并指责这名研究人员从事非法活动宣传和传播虚假信息。

这份以“品牌保护”为名义的投诉，指控存在未经授权使用“汉堡王”商标的行为，并以“严重不正当竞争”为由威胁采取法律行动。

在收到《数字千年版权法》通知后的几小时内，多位网络安全专业人士开始在Mastodon上分享原始报告的存档副本，引发了“史翠珊效应”。

芭芭拉·史翠珊梗相关的截图凸显了人们对利用《数字千年版权法案》扼杀安全研究的强烈反对。

印度储备银行的一位发言人告诉信息安全媒体集团，该助手程序正处于早期测试阶段，既不保留客户身份信息，也不存储长期数据。

“该测试项目的目的是帮助团队成员提供更好的客户体验，”声明中写道。 RBI强调了订单准确性验证和实时设备通知等功能，但拒绝对法律通知或Cyble的参与发表评论。

BobDaHacker坚称，在测试过程中没有存储或窃取任何敏感的客户数据。

印度储备银行在BobDaHacker披露所报告的漏洞当天就对其进行了修复。然而，这次迅速的数字千年版权法案行动引发了人们的担忧，即企业是否可能将版权声明武器化，以避免声誉受损，而非与安全社区合作。