BrewDog heeft de persoonlijk identificeerbare informatie (PII) van ongeveer 200.000 aandeelhouders gedurende het grootste deel van 18 maanden blootgelegd, zeggen onderzoekers.
Volgens PenTestPartners weigerde BrewDog “hun aandeelhouders te informeren en vroeg om niet genoemd te worden” in het onderzoek dat de beveiligingsfout aan het licht bracht.
Op 8 oktober zei het cyberbeveiligingsbedrijf dat de Schotse brouwerij een hard-coded Bearer-authenticatietoken heeft geïmplementeerd dat is gekoppeld aan API-eindpunten die zijn ontworpen voor de mobiele applicaties van BrewDog.
De tokens zijn geretourneerd, maar in plaats van te worden geactiveerd zodra een gebruiker zijn inloggegevens heeft ingediend – waardoor toegang tot een eindpunt wordt verleend – omdat ze hard gecodeerd waren, werd deze verificatiestap gemist.
PenTestPartners-leden, die toevallig aandeelhouders van BrewDog waren, voegden elkaars klant-ID's toe aan het einde van API-eindpunt-URL's. Tijdens tests ontdekten ze dat ze toegang hadden tot de PII van Equity for Punks-aandeelhouders zonder een geschikte authenticatie-uitdaging.
Namen, geboortedata, e-mailadressen, geslachten, telefoonnummers, eerder gebruikte afleveradressen, aandeelhoudersnummers, aandelen, verwijzingen en meer waren toegankelijk. De klant-ID's werden echter niet als 'opeenvolgend' beschouwd.
“Een aanvaller kan de klant-ID's bruut forceren en de hele database van klanten downloaden”, aldus de onderzoekers. “Dit kan niet alleen aandeelhouders met de grootste belangen identificeren, samen met hun thuisadres, het kan ook worden gebruikt om een levenslange voorraad QR-codes met korting te genereren!”
PenTestPartners merkte op dat een deel van de blootgestelde PII onder de AVG-beschermingsbanner zou vallen en dat hard-coderende authenticatietokens niet aan deze normen voldoen.
Op basis van een analyse van oudere versies van de BrewDog-app, zeggen de onderzoekers dat het beveiligingsprobleem werd geïntroduceerd in versie 2.5.5, uitgebracht in maart 2020, en ongeveer 18 maanden niet was opgelost.
Nadat PenTestPartners contact had opgenomen met zijn bevindingen, testte onderzoeker Alan Monie in totaal zes verschillende builds. Er waren vier pogingen nodig om het probleem op te lossen in versie 2.5.13, uitgebracht op 27 september.
PenTestPartners
Het changelog voor deze versie lijkt echter geen melding te maken van de kwetsbaarheidscorrectie.
“De kwetsbaarheid is verholpen”, zegt de onderzoeker. “Voor zover ik weet, heeft BrewDog hun klanten en aandeelhouders niet gewaarschuwd dat hun persoonlijke gegevens onbeschermd op internet zijn achtergelaten. Ik heb een maand met BrewDog gewerkt en zes verschillende versies van hun app gratis getest. teleurgesteld door BrewDog, zowel als klant, aandeelhouder, en de manier waarop ze reageerden op de openbaarmaking van de beveiliging.”
In een gesprek met ZDNet gaf een woordvoerder van BrewDog de volgende verklaring:
“We werden onlangs op de hoogte gebracht van een kwetsbaarheid in een van onze apps door een derde partij technische beveiligingsdiensten, waarna we hebben de app onmiddellijk verwijderd en het probleem opgelost. We hebben geen andere gevallen van toegang via deze route of persoonlijke gegevens vastgesteld die op enigerlei wijze zijn aangetast. Het was daarom niet nodig om gebruikers op de hoogte te stellen.
We zijn het externe technische beveiligingsservicebedrijf dankbaar voor het waarschuwen van dit beveiligingslek. We zijn volledig toegewijd aan het waarborgen van de veiligheid van de privacy van onze gebruikers. Onze beveiligingsprotocollen en kwetsbaarheidsbeoordelingen worden altijd herzien en altijd verfijnd, zodat we ervoor kunnen zorgen dat het risico op een cyberbeveiligingsincident tot een minimum wordt beperkt.”
BrewDog vertelde ons ook:
< p>“BrewDog is op de hoogte gesteld van een kwetsbaarheid en de mogelijkheid dat gegevens worden gecompromitteerd. Onderzoek heeft geen bewijs gevonden dat dit het geval was. Daarom is het niet verplicht om de ICO te informeren. Een onafhankelijke partij heeft de zaak gedocumenteerd zoals vereist door de ICO.”
Eerdere en gerelateerde berichtgeving
De kosten van datalekken voor ondernemingen bereikten recordhoogte tijdens de COVID-19-pandemie
De grootste hacks, datalekken van 2020
Broncode van Twitch, bedrijfsgegevens, uitbetalingen van gamers gelekt binnen massale hack
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 