BrewDog avslöjade personligen identifierbar information (PII) om cirka 200 000 aktieägare under den bästa delen av 18 månader, säger forskare.
Enligt PenTestPartners, BrewDog “avböjde att informera sina aktieägare och bad att inte bli namngiven” i forskningen som avslöjade säkerhetsbristen.
Den 8 oktober sa cybersäkerhetsföretaget att det skotska bryggeriet implementerade en hårdkodad Bearer-autentiseringstoken som är associerad med API-slutpunkter utformade för BrewDogs mobila applikationer.
Tokens returnerades, men i stället för att utlösas när en användare har skickat in sina uppgifter – därför att tillåta åtkomst till en slutpunkt – eftersom de var hårdkodade, missades detta verifieringssteg.
PenTestPartners -medlemmar, som råkade vara BrewDog -aktieägare, bifogade varandras kund -ID i slutet av API -slutpunktens webbadresser. Under tester fann de att de kunde komma åt PII of Equity for Punks -aktieägare utan en lämplig autentiseringsutmaning.
Namn, födelsedatum, e -postadresser, kön, telefonnummer, tidigare använda leveransadresser, aktieägarnummer, aktier som innehas, hänvisningar med mera var tillgängliga. Kund -id: n ansågs dock inte vara “sekventiell”.
“En angripare kan brutalt tvinga kund -ID: n och ladda ner hela databasen med kunder”, sa forskarna. “Inte bara kan detta identifiera aktieägare med de största innehaven tillsammans med sin hemadress, det kan också användas för att generera ett livslångt utbud av rabatterade QR -koder!”
PenTestPartners noterade att några av PII-exponerade skulle falla under GDPR-skyddsbannern, och hårdkodande autentiseringstoken är ett misslyckande med att uppfylla dessa standarder.
Baserat på en analys av äldre versioner av BrewDog -appen säger forskarna att säkerhetsfrågan introducerades i version 2.5.5, som släpptes i mars 2020 och inte löstes på ungefär 18 månader.
Efter att PenTestPartners nått ut med sina resultat testade forskaren Alan Monie totalt sex olika byggnader. Det tog fyra fixningsförsök innan problemet löstes i version 2.5.13, släppt den 27 september.
PenTestPartners
Ändringsloggen för den här versionen verkar dock inte nämna säkerhetsproblemet.
“Sårbarheten är åtgärdad”, säger forskaren. “Så vitt jag vet har BrewDog inte larmat sina kunder och aktieägare om att deras personuppgifter lämnades oskyddade på internet. Jag arbetade med BrewDog i en månad och testade sex olika versioner av deras app gratis. Jag är lite kvar besviken på BrewDog både som kund, aktieägare och hur de reagerade på säkerhetsupplysningen. ”
I ett meddelande till ZDNet lämnade en BrewDog -talesman följande uttalande:
“Vi informerades nyligen om en sårbarhet i en av våra appar av ett tredjepartsföretag för tekniska säkerhetstjänster. vi tog genast ner appen och löste problemet. Vi har inte identifierat andra fall av åtkomst via denna rutt eller att personuppgifter har påverkats på något sätt. Det var därför inget krav på att meddela användare.
Vi är tacksamma till tredje parts tekniska säkerhetstjänst för att ha uppmärksammat oss på denna sårbarhet. Vi är helt engagerade i att säkerställa säkerheten för vår användares integritet. Våra säkerhetsprotokoll och sårbarhetsbedömningar granskas alltid och förfinas alltid, så att vi kan säkerställa att risken för en cybersäkerhetsincident minimeras. “
BrewDog berättade också för oss:
< p>“BrewDog meddelades om en sårbarhet och risken för att data skulle äventyras. Undersökningar fann inga bevis för att det var det. Därför finns det inget krav på att informera ICO. En oberoende part dokumenterade fallet som krävs av ICO.”
Tidigare och relaterad täckning
Kostnader för företagsdataintrång nådde rekordhöga under COVID-19-pandemin
De största hackarna, dataintrång 2020 | Twitch-källkod, affärsdata, spelarutbetalningar läckte in massivt hack
Har du ett tips? Hör av dig säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Security TV Data Management CXO Data Centers 