English Greek
16
Κυρ, Ιουν
26 New Articles

ΜΟΙΡΑΣΤΕΙΤΕ ΤΟ ΑΡΘΡΟ

Η BrewDog Εξέθεσε Τα Δεδομένα 200.000 Μετόχων Και Πελατών Της

Διεθνη
Typography
  • Smaller Small Medium Big Bigger
  • Default Helvetica Segoe Georgia Times

Η BrewDog, γνωστή αλυσίδα ζυθοποιίας και παμπ της Σκωτίας, αποκάλυψε ότι αποκαλύφθηκαν τα δεδομένα 200.000 μετόχων και πελατών της.

Η έκθεση διήρκεσε πάνω από 18 μήνες και το σημείο της διαρροής ήταν η εφαρμογή για κινητά της εταιρείας, η οποία δίνει στην κοινότητα «Equity Punks» πρόσβαση σε πληροφορίες, εκπτώσεις σε μπαρ και πολλά άλλα.

Όπως αναφέρεται λεπτομερώς σε μια αναφορά των PenTestPartners, το πρόβλημα έγκειται στο API της εφαρμογής και πιο συγκεκριμένα, στο σύστημα ελέγχου ταυτότητας που βασίζεται σε token. Η γκάφα ασφαλείας προέρχεται από το γεγονός ότι αυτά τα tokens κωδικοποιήθηκαν στο mobile app αντί να μεταδοθούν σε αυτό μετά από ένα επιτυχημένο συμβάν ελέγχου ταυτότητας χρήστη.

Ως εκ τούτου, ο καθένας ήταν ελεύθερος να προσθέσει οποιοδήποτε αναγνωριστικό πελάτη στο τέλος του API endpoint URL και να αποκτήσει πρόσβαση σε ευαίσθητα PII για αυτόν τον πελάτη.

Οι λεπτομέρειες που θα μπορούσαν να εκτεθούν με αυτόν τον απλό τρόπο περιλαμβάνουν τα ακόλουθα:

  • Όνομα
  • Ημερομηνία γέννησης
  • Email
  • Γένος
  • Όλες οι διευθύνσεις παράδοσης που είχαν χρησιμοποιηθεί στο παρελθόν
  • Αριθμός τηλεφώνου
  • Αριθμός κατοχής μετοχών
  • Αριθμός μετόχου
  • Ποσό έκπτωσης μπαρ
  • Αναγνωριστικό Bar ID - χρησιμοποιείται για τη δημιουργία του κωδικού QR
  • Αριθμός παραπομπών
  • Τύπος μπύρας που είχε αγοραστεί στο παρελθόν

Ενώ αυτά τα αναγνωριστικά δεν είναι διαδοχικά, ακολουθούν ένα σύστημα που θα προσφέρει κάτι καλύτερο για δοκιμή αντί να εισάγετε τυχαίους αριθμούς.

Εκτός από το γεγονός ότι ο καθένας μπορούσε να έχει πρόσβαση στις ευαίσθητες λεπτομέρειες άλλων χρηστών εφαρμογών, μετόχων και πελατών της BrewDog, οι συνέπειες αυτού του ευρήματος έπληξαν και την ίδια την εταιρεία. Κάποιος χάκερ που θα μπορούσε να καταχραστεί το ελάττωμα θα μπορούσε να λάβει άπειρες δωρεάν μπύρες και εκπτώσεις δημιουργώντας κωδικούς QR από "φορτωμένους" λογαριασμούς.

Η ανακάλυψη του ελαττώματος ήρθε τον Μάρτιο του 2020, όταν οι ερευνητές του PTP ανέλυσαν την έκδοση εφαρμογής 2.5.5. Παρόλο που η ομάδα της BrewDog ενημερώθηκε για τις λεπτομέρειες αμέσως, δεν κατάφερε να ασφαλίσει το σύστημα της ενώ κυκλοφόρησαν πολλές επόμενες εκδόσεις.

Τελικά, το θέμα επιδιορθώθηκε με την έκδοση 2.5.13 που κυκλοφόρησε στις 27 Σεπτεμβρίου 2021. Η BrewDog επέλεξε να μην αποκαλύψει τίποτα σημαντικό στην ανακοίνωση αλλαγής αυτής της έκδοσης, η οποία αντικατοπτρίζει τη γενική τους στάση στην αντιμετώπιση του περιστατικού.

Ο ερευνητής αναφέρει ότι η BrewDog υποβάθμισε τη σημασία των ευρημάτων του, δεν κατάφερε να αντιμετωπίσει έγκαιρα τα ζητήματα και ισχυρίστηκε ότι δεν έβλεπε επανειλημμένα κανένα στοιχείο παραβίασης δεδομένων.

Από πρακτική σκοπιά, ακόμη και αν η εταιρεία αναζητούσε ενεργά σημάδια παραβίασης, δεν θα υπήρχε κανένας λόγω του τρόπου με τον οποίο θα μπορούσε να αξιοποιηθεί αυτό το ελάττωμα.

Από όσο γνωρίζουμε, η BrewDog δεν ενημέρωσε τους μετόχους και τους πελάτες της για την πιθανότητα παραβίασης των δεδομένων τους. Επικοινωνήσαμε μαζί τους για κάποιο σχόλιο, αλλά δεν έχουμε ακούσει ακόμα.

Λόγω της φύσης των εκτεθειμένων δεδομένων, η εταιρεία θα πρέπει επίσης να ενημερώσει τον υπεύθυνο προστασίας δεδομένων του Ηνωμένου Βασιλείου, καθώς το PII εμπίπτει στον νόμο GDPR που εξακολουθεί να ισχύει στη χώρα.

πηγή: secnews.gr

 
 

 

 

Μόνο τα εγγεγραμένα μέλη έχουν το δικαίωμα σχολιασμού των άρθρων.

Διαφήμιση

ΜΟΙΡΑΣΤΕΙΤΕ ΤΟ ΑΡΘΡΟ

ΔΙΑΒΑΣΤΕ ΑΚΟΜΑ

Stone - Enjoy By 07.04.21
Γιώργος Ιορδανίδης

Μια νέα ετικέτα κυκλοφόρησε η Stone Brewing.

Stone - Hop Engineer-Nelson Sauvin
Γιώργος Ιορδανίδης

Μια νέα ετικέτα κυκλοφόρησε η Stone Brewing.

Πρόγραμμα Διττής Εκπαίδευσης: Πραγματοποιήθηκαν Με Επιτυχία Οι Ενδιάμεσες Εξετάσεις Στην Ελληνική Ζυθοποιία Αταλάντης
capital.gr

Ολοκληρώθηκαν με επιτυχία οι πρώτες ενδιάμεσες εξετάσεις των συμμετεχόντων στο πρόγραμμα Διττής Επαγγελματικής Εκπαίδευσης για την ειδικότητα "Ζυθοποιός-Βυνοποιός", που υλοποιείται από την Ελληνική Ζυθοποιία Ατάλαντης (ΕΖΑ) με την υποστήριξη του Ελληνογερμανικού Εμπορικού και Βιομηχανικού Επιμελητηρίου.

Κίνα: Σοβαρό Πλήγμα Στις Πωλήσεις Μπύρας Carlsberg
sigmalive.com

Ωστόσο, η δανέζικη ζυθοποιία ανακοίνωσε ότι δεν θα αλλάξει τη στρατηγική της για την Κίνα.

Αναστασίου - Columbus
Γιώργος Ιορδανίδης

Μια νέα ετικέτα κυκλοφόρησε η Ζυθοποιία Αναστασίου.

Anchorage - Kindness
Γιώργος Ιορδανίδης

Μια νέα ετικέτα κυκλοφόρησε η Anchorage Brewing Co.

Άλλα Άρθρα

Και Μη Ξεχνάτε... Ποτέ Αλκοόλ Και Οδήγηση!

Κράτα το

Κράτα το

Κράτα το

Κράτα το

Κράτα το

Κράτα το

Κράτα το

Κράτα το

Κράτα το

Κράτα το

Κράτα το

Κράτα το

Κράτα το