BrewDog предоставил данные более 200000 акционеров и клиентов

24
Lyft регистрирует более 4000 случаев сексуального насилия в давно ожидаемом отчете о безопасности

BrewDog, шотландская сеть пивоварен и пабов, известная своей моделью коллективного владения и вкусными IPA, необратимо раскрыла подробности 200 000 своих акционеров и клиентов. 

Разоблачение длилось более 18 месяцев, и причиной утечки стало мобильное приложение фирмы, которое дает сообществу Equity Punks доступ к информации, скидкам в барах и многому другому. 

Как подробно описано в отчете PenTestPartners, проблема заключается в API приложения, а точнее, в его системе аутентификации на основе токенов. Ошибка безопасности связана с тем, что эти токены были жестко закодированы в мобильном приложении, а не передавались ему после успешного события аутентификации пользователя. 

Таким образом, любой может добавить любой идентификатор клиента в конец URL-адреса конечной точки API и получить доступ к конфиденциальной PII (личной информации) этого клиента. 

Детали, которые можно раскрыть таким простым способом, включают следующее: 

  • Имя
  • Дата рождения
  • Адрес электронной почты
  • Пол
  • Все ранее использованные адреса доставки
  • Номер телефона
  • Количество принадлежащих акций
  • Номер акционера
  • Размер скидки бара
  • Идентификатор скидки бара — используется для создания QR-кода
  • Количество рефералов
  • Сорт пива, приобретенного ранее 

Хотя эти идентификаторы не являются последовательными, они соответствуют системе, которая предоставит что-то лучшее, что можно попробовать, вместо простого ввода случайных чисел.

Помимо того факта, что любой мог получить доступ к конфиденциальным деталям других пользователей приложения, акционеров и клиентов BrewDog, последствия этого открытия также коснулись самой компании. Злоумышленник мог получить бесконечное бесплатное пиво и скидки, генерируя QR-коды из «загруженных» учетных записей.

Недостаток существовал с марта 2020 года, когда BrewDog начал использовать жестко запрограммированные токены с версией приложения 2.5.5. К сожалению, команда BrewDog упустила этот недостаток в течение длительного периода времени и не смогла защитить свою систему токенов в нескольких последующих выпусках.

В конце концов, проблема была исправлена ​​с помощью версии 2.5.13, которая вышла 27 сентября 2021 года. Однако BrewDog предпочел не раскрывать ничего важного в уведомлении об изменениях этого выпуска.

Исследователь сообщает, что BrewDog преуменьшает важность своих выводов и заявляет, что неоднократно не видел доказательств нарушения данных. С практической точки зрения, даже если бы компания активно искала признаки взлома, их не было бы из-за скрытого способа использования этой уязвимости.

Насколько нам известно, BrewDog не сообщал своим акционерам и клиентам о возможности взлома их данных. Мы обратились к ним за комментарием, но пока не получили ответа.

В связи с характером раскрываемых данных компания также должна будет сообщить об этом сотруднику по защите данных Великобритании, поскольку PII подпадает под действие GDPR, которое по- прежнему применяется в стране.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here