BrewDog разкри данни за 200 000 акционери за повече от година

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

BrewDog разкрива личната информация (PII) на около 200 000 акционери през по -голямата част от 18 месеца, казват изследователите.

Според на PenTestPartners, BrewDog “отказа да информира своите акционери и поиска да не бъде посочен” в изследването, разкриващо недостатъка в сигурността.

На 8 октомври фирмата за киберсигурност заяви, че шотландската пивоварна е внедрила твърдо кодиран маркер за удостоверяване на Bearer, свързан с крайните точки на API, предназначени за мобилните приложения на BrewDog.

Токените бяха върнати, но вместо да бъдат задействани, след като потребителят е представил своите идентификационни данни – следователно, позволявайки достъп до крайна точка – тъй като те са били твърдо кодирани, тази стъпка за проверка е пропусната.

Членовете на PenTestPartners, които случайно бяха акционери на BrewDog, си добавяха клиентските идентификатори на другия в края на URL адресите на крайните точки на API. По време на тестовете те откриха, че са имали достъп до PII на Equity for Punks акционери без подходящо предизвикателство за удостоверяване.

Достъпни бяха имена, дати на раждане, имейл адреси, полове, телефонни номера, използвани по -рано адреси за доставка, номера на акционери, притежавани акции, препоръки и др. ИД на клиенти обаче не се считат за „последователни“.

„Един нападател може с груба сила да наложи идентификационните номера на клиентите и да изтегли цялата база данни с клиенти“, казват изследователите. „Това не само би могло да идентифицира акционери с най -големи дялове заедно с домашния им адрес, но може да се използва и за генериране на доживотна доставка на QR кодове за отстъпка!“

PenTestPartners отбеляза, че някои от разкритите лични данни ще попаднат под банера за защита на GDPR, а кодиращите жетони за твърдо кодиране са неспазване на тези стандарти.

Въз основа на анализ на по -стари версии на приложението BrewDog изследователите казват, че проблемът със сигурността е въведен във версия 2.5.5, пусната през март 2020 г., и не е разрешен за около 18 месеца.

След като PenTestPartners достигна до своите открития, изследователят Алън Мони тества общо шест различни компилации. Бяха необходими четири опита за коригиране, преди проблемът да бъде решен във версия 2.5.13, издадена на 27 септември.

PenTestPartners

В дневника на промените за тази версия не се споменава корекцията на уязвимостта.

“Уязвимостта е фиксирана”, казва изследователят. “Доколкото знам, BrewDog не е предупредил своите клиенти и акционери, че техните лични данни са останали незащитени в интернет. Работих с BrewDog в продължение на месец и тествах шест различни версии на приложението им безплатно. Останах малко разочаровани от BrewDog както като клиент, като акционер, така и от начина, по който са отговорили на разкриването на сигурността. ”

Говорейки пред ZDNet, говорител на BrewDog даде следното изявление:

„Наскоро бяхме информирани за уязвимост в едно от нашите приложения от фирма за услуги за техническа сигурност на трета страна, след което незабавно свалихме приложението и решихме проблема. Не сме установили други случаи на достъп по този маршрут или лични данни са били засегнати по някакъв начин. Следователно нямаше изискване да уведомява потребителите.

Благодарни сме на фирмата за техническа охрана на трети страни, която ни предупреди за тази уязвимост. Ние сме изцяло ангажирани да гарантираме сигурността на поверителността на нашите потребители. Нашите протоколи за сигурност и оценки на уязвимостта винаги се преразглеждат и винаги се усъвършенстват, за да можем да гарантираме, че рискът от инцидент в киберсигурността е сведен до минимум. ”

BrewDog също ни каза:

“BrewDog беше уведомен за уязвимост и потенциал за компрометиране на данните. Разследванията не откриха доказателства, че това е така. Следователно няма изискване да се информира ICO. Независима страна документира случая, както се изисква от ICO.”


Имате бакшиш? | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •