BrewDog afslørede personligt identificerbare oplysninger (PII) om cirka 200.000 aktionærer i den bedste del af 18 måneder, siger forskere.
Ifølge PenTestPartners afviste BrewDog “at informere deres aktionærer og bad om ikke at blive navngivet” i forskningen, der afslørede sikkerhedsfejlen.
Den 8. oktober sagde cybersikkerhedsfirmaet, at det skotske bryggeri implementerede et hardkodet Bearer-godkendelsestoken forbundet med API-slutpunkter designet til BrewDogs mobilapplikationer.
Tokens blev returneret, men i stedet for at blive udløst, når en bruger har indsendt deres legitimationsoplysninger – derfor giver adgang til et slutpunkt – da de var hardcoded, blev dette verifikationstrin gået glip af.
PenTestPartners -medlemmer, der tilfældigvis var BrewDog -aktionærer, tilføjede hinandens kunde -id'er i slutningen af API -slutpunktets webadresser. Under tests fandt de ud af, at de var i stand til at få adgang til PII of Equity for Punks -aktionærer uden en passende godkendelsesudfordring.
Navne, fødselsdatoer, e -mail -adresser, køn, telefonnumre, tidligere anvendte leveringsadresser, aktionærnumre, beholdte aktier, henvisninger og mere var tilgængelige. Kunde -id'erne blev dog ikke betragtet som “sekventielle”.
“En angriber kan brute tvinge kunde -id'erne og downloade hele kundedatabasen,” sagde forskerne. “Ikke alene kunne dette identificere aktionærer med de største beholdninger sammen med deres hjemmeadresse, det kunne også bruges til at generere en levetid på rabatterede QR -koder!”
PenTestPartners bemærkede, at nogle af de PII-eksponerede ville falde ind under GDPR-beskyttelsesbanneret, og hårdkodende godkendelsestokener er en mangel på at opfylde disse standarder.
Baseret på en analyse af ældre versioner af BrewDog -appen siger forskerne, at sikkerhedsproblemet blev introduceret i version 2.5.5, udgivet i marts 2020 og ikke blev løst i cirka 18 måneder.
Efter at PenTestPartners nåede ud med sine resultater, testede forsker Alan Monie i alt seks forskellige builds. Det tog fire rettelsesforsøg, før problemet blev løst i version 2.5.13, udgivet den 27. september.
PenTestPartners
Imidlertid ser ændringsloggen for denne version ikke ud til at nævne sikkerhedsrettelsen.
“Sårbarheden er rettet,” siger forskeren. “Så vidt jeg ved, har BrewDog ikke advaret deres kunder og aktionærer om, at deres personlige oplysninger blev efterladt ubeskyttet på internettet. Jeg arbejdede med BrewDog i en måned og testede seks forskellige versioner af deres app gratis. Jeg står lidt tilbage skuffet over BrewDog både som kunde, som aktionær og over den måde, de reagerede på sikkerhedsoplysningerne. ”
I en tale til ZDNet afgav en BrewDog -talsmand følgende erklæring:
“Vi blev for nylig informeret om en sårbarhed i en af vores apps af et tredjeparts firma inden for tekniske sikkerhedstjenester, hvorefter vi tog straks appen ned og løste problemet. Vi har ikke identificeret andre tilfælde af adgang via denne rute eller personlige data, der er påvirket på nogen måde. Der var derfor ikke noget krav om at underrette brugerne.
Vi er taknemmelige over for tredjepartsfirmaet for tekniske sikkerhedstjenester for at advare os om denne sårbarhed. Vi er fuldt ud forpligtet til at sikre sikkerheden for vores brugers privatliv. Vores sikkerhedsprotokoller og sårbarhedsvurderinger er altid under revision og forbedres altid, for at vi kan sikre, at risikoen for en cybersikkerhedshændelse minimeres. “
BrewDog fortalte os også:
< p>“BrewDog blev underrettet om en sårbarhed og muligheden for at kompromittere data. Undersøgelser fandt ingen beviser for, at det var det. Derfor er der ikke noget krav om at informere ICO. En uafhængig part dokumenterede sagen som krævet af ICO.”
Tidligere og relateret dækning
Omkostninger for virksomhedsbrud i virksomheden nåede rekordhøje under COVID-19-pandemien
De største hacks, databrud i 2020
Twitch-kildekode, forretningsdata, spillerudbetalinger lækket ind massivt hack
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Security TV Data Management CXO Data Centers 