Deze hacker, bekend van het hacken van McDonald's, richt zich nu op robotbedienden in restaurants

Hierdoor was het mogelijk om de robots op afstand over te nemen terwijl ze door de zaal reden. De fabrikant werd gewaarschuwd en reageerde aanvankelijk traag, maar wist het probleem binnen 48 uur op te lossen. Toch blijft de vraag: hoe veilig is service wanneer die wordt geleverd door verbonden machines?

Serveerrobots onder vuur: BobdaHacker slaat opnieuw toe

BobdaHacker is inmiddels een bekende naam in de cybersecuritywereld. Eerder haalde ze het nieuws door de systemen van McDonald’s te verstoren. Nu richt ze zich op een ander symbool van technologische vernieuwing in de horeca: de serveerrobots. De afgelopen weken claimde ze ernstige kwetsbaarheden te hebben ontdekt in de BellaBot-modellen van het Chinese bedrijf PUDU Robotics. Een waarschuwing die, gezien de risico’s voor de operatie, niet genegeerd kan worden.

BellaBot: technologie voor de horeca

Met hun kattendesign en het vermogen om tot 10 kilo gerechten te vervoeren, zijn de BellaBots ontworpen om de werkdruk van het personeel te verlichten en klanten een speelse ervaring te bieden. Ze functioneren autonoom, maar maken gebruik van een verbonden interface via een API voor navigatie, distributie en coördinatie. Zoals bij elk verbonden systeem vormt die softwarelaag ook een mogelijk doelwit voor hackers.

De kwetsbaarheid: lakse toegangsrechten

Volgens BobdaHacker zat de grootste zwakte in de gebrekkige controle van toegangsrechten aan de API-kant. Met een geldig token kon iemand op afstand bepaalde functies van een BellaBot overnemen. Dit leverde risico’s op voor de orde in het restaurant en mogelijk zelfs gevaar voor personeel en klanten.

De ontdekking laat zien dat dit geen op zichzelf staand probleem is: zonder het principe van ‘least privilege’ en strikte validatie wordt elk verbonden apparaat een toegangspoort voor misbruik.

Oproep genegeerd, snelle fix na onthulling

Omdat de impact groot kon zijn, zegt BobdaHacker meerdere keren contact te hebben gezocht met PUDU Robotics, aanvankelijk zonder succes. Pas na de publieke onthulling van de technische details kwam er beweging. Binnen 48 uur na haar waarschuwing bracht de fabrikant een patch uit. Een snelle ingreep, maar de manier waarop het proces verliep roept vragen op over hoe PUDU met kwetsbaarheden omgaat.

Belangrijke vragen blijven:

• Hebben andere fabrikanten vergelijkbare problemen?
• Moeten klanten zich zorgen maken om hun gegevens?
• Wat betekent dit voor de reputatie en betrouwbaarheid van PUDU?

Het incident onderstreept de noodzaak van constante waakzaamheid en regelmatige beveiligingsaudits.

Wat dit zegt over verbonden technologie

Het BellaBot-incident laat zien dat veiligheid geen extraatje is, maar een vereiste vanaf het ontwerp, ook in de horeca. De snelle reactie van PUDU is positief, maar de focus moet liggen op structurele verbeteringen: het toepassen van least privilege, sterkere API’s, logging, penetratietests en beveiligde updates.

Voor BobdaHacker maakt de zaak vooral één ding duidelijk: innovatie kan niet duurzaam zijn zonder goed bestuur en een voortdurende aanpak van risico’s.