Beer-Pedia.com - Η BrewDog Εξέθεσε Τα Δεδομένα 200.000 Μετόχων Και Πελατών Της

( ! ) Notice: Undefined variable: pos in /home/beer-pedia.com/public_html/templates/ja_teline_v/html/layouts/joomla/content/item/default.php on line 34
Call Stack
#	Time	Memory	Function	Location
1	0.0001	359680	{main}( )	.../index.php:0
2	0.3546	1088352	Joomla\CMS\Application\SiteApplication->execute( )	.../index.php:49
3	0.3546	1088408	Joomla\CMS\Application\SiteApplication->doExecute( )	.../CMSApplication.php:225
4	0.4057	3449968	Joomla\CMS\Application\SiteApplication->dispatch( )	.../SiteApplication.php:233
5	0.4068	3507784	Joomla\CMS\Component\ComponentHelper::renderComponent( )	.../SiteApplication.php:194
6	0.4080	3541920	Joomla\CMS\Component\ComponentHelper::executeComponent( )	.../ComponentHelper.php:377
7	0.4080	3559040	require_once( '/home/beer-pedia.com/public_html/components/com_content/content.php' )	.../ComponentHelper.php:402
8	0.4099	3639664	ContentController->execute( )	.../content.php:43
9	0.4099	3639664	ContentController->display( )	.../BaseController.php:702
10	0.4612	14225792	ContentController->display( )	.../controller.php:118
11	0.4621	14241080	Joomla\CMS\Cache\Controller\ViewController->get( )	.../BaseController.php:655
12	0.4630	14261864	ContentViewArticle->display( )	.../ViewController.php:102
13	0.5165	14994552	ContentViewArticle->display( )	.../view.html.php:210
14	0.5165	14994552	ContentViewArticle->loadTemplate( )	.../viewlegacy.php:207
15	0.5168	15012032	include( '/home/beer-pedia.com/public_html/templates/ja_teline_v/html/com_content/article/default.php' )	.../viewlegacy.php:661
16	0.5204	15164920	JATemplateHelper::render( )	.../default.php:34
17	0.5212	15169400	Joomla\CMS\Layout\LayoutHelper::render( )	.../helper.php:547
18	0.5213	15170072	JLayoutFile->render( )	.../LayoutHelper.php:73
19	0.5217	15192008	include( '/home/beer-pedia.com/public_html/templates/ja_teline_v/html/layouts/joomla/content/item/default.php' )	.../file.php:121

( ! ) Notice: Undefined variable: pos in /home/beer-pedia.com/public_html/templates/ja_teline_v/html/layouts/joomla/content/item/default.php on line 34

Call Stack

Time

Memory

Function

Location

0.0001

359680

{main}( )

.../index.php:0

0.3546

1088352

Joomla\CMS\Application\SiteApplication->execute( )

.../index.php:49

0.3546

1088408

Joomla\CMS\Application\SiteApplication->doExecute( )

.../CMSApplication.php:225

0.4057

3449968

Joomla\CMS\Application\SiteApplication->dispatch( )

.../SiteApplication.php:233

0.4068

3507784

Joomla\CMS\Component\ComponentHelper::renderComponent( )

.../SiteApplication.php:194

0.4080

3541920

Joomla\CMS\Component\ComponentHelper::executeComponent( )

.../ComponentHelper.php:377

0.4080

3559040

require_once( '/home/beer-pedia.com/public_html/components/com_content/content.php' )

.../ComponentHelper.php:402

0.4099

3639664

ContentController->execute( )

.../content.php:43

0.4099

3639664

ContentController->display( )

.../BaseController.php:702

0.4612

14225792

ContentController->display( )

.../controller.php:118

0.4621

14241080

Joomla\CMS\Cache\Controller\ViewController->get( )

.../BaseController.php:655

0.4630

14261864

ContentViewArticle->display( )

.../ViewController.php:102

0.5165

14994552

ContentViewArticle->display( )

.../view.html.php:210

0.5165

14994552

ContentViewArticle->loadTemplate( )

.../viewlegacy.php:207

0.5168

15012032

include( '/home/beer-pedia.com/public_html/templates/ja_teline_v/html/com_content/article/default.php' )

.../viewlegacy.php:661

0.5204

15164920

JATemplateHelper::render( )

.../default.php:34

0.5212

15169400

Joomla\CMS\Layout\LayoutHelper::render( )

.../helper.php:547

0.5213

15170072

JLayoutFile->render( )

.../LayoutHelper.php:73

0.5217

15192008

include( '/home/beer-pedia.com/public_html/templates/ja_teline_v/html/layouts/joomla/content/item/default.php' )

.../file.php:121

( ! ) Notice: Undefined variable: pos in /home/beer-pedia.com/public_html/templates/ja_teline_v/html/layouts/joomla/content/item/default.php on line 35
Call Stack
#	Time	Memory	Function	Location
1	0.0001	359680	{main}( )	.../index.php:0
2	0.3546	1088352	Joomla\CMS\Application\SiteApplication->execute( )	.../index.php:49
3	0.3546	1088408	Joomla\CMS\Application\SiteApplication->doExecute( )	.../CMSApplication.php:225
4	0.4057	3449968	Joomla\CMS\Application\SiteApplication->dispatch( )	.../SiteApplication.php:233
5	0.4068	3507784	Joomla\CMS\Component\ComponentHelper::renderComponent( )	.../SiteApplication.php:194
6	0.4080	3541920	Joomla\CMS\Component\ComponentHelper::executeComponent( )	.../ComponentHelper.php:377
7	0.4080	3559040	require_once( '/home/beer-pedia.com/public_html/components/com_content/content.php' )	.../ComponentHelper.php:402
8	0.4099	3639664	ContentController->execute( )	.../content.php:43
9	0.4099	3639664	ContentController->display( )	.../BaseController.php:702
10	0.4612	14225792	ContentController->display( )	.../controller.php:118
11	0.4621	14241080	Joomla\CMS\Cache\Controller\ViewController->get( )	.../BaseController.php:655
12	0.4630	14261864	ContentViewArticle->display( )	.../ViewController.php:102
13	0.5165	14994552	ContentViewArticle->display( )	.../view.html.php:210
14	0.5165	14994552	ContentViewArticle->loadTemplate( )	.../viewlegacy.php:207
15	0.5168	15012032	include( '/home/beer-pedia.com/public_html/templates/ja_teline_v/html/com_content/article/default.php' )	.../viewlegacy.php:661
16	0.5204	15164920	JATemplateHelper::render( )	.../default.php:34
17	0.5212	15169400	Joomla\CMS\Layout\LayoutHelper::render( )	.../helper.php:547
18	0.5213	15170072	JLayoutFile->render( )	.../LayoutHelper.php:73
19	0.5217	15192008	include( '/home/beer-pedia.com/public_html/templates/ja_teline_v/html/layouts/joomla/content/item/default.php' )	.../file.php:121

( ! ) Notice: Undefined variable: pos in /home/beer-pedia.com/public_html/templates/ja_teline_v/html/layouts/joomla/content/item/default.php on line 35

Call Stack

Time

Memory

Function

Location

0.0001

359680

{main}( )

.../index.php:0

0.3546

1088352

Joomla\CMS\Application\SiteApplication->execute( )

.../index.php:49

0.3546

1088408

Joomla\CMS\Application\SiteApplication->doExecute( )

.../CMSApplication.php:225

0.4057

3449968

Joomla\CMS\Application\SiteApplication->dispatch( )

.../SiteApplication.php:233

0.4068

3507784

Joomla\CMS\Component\ComponentHelper::renderComponent( )

.../SiteApplication.php:194

0.4080

3541920

Joomla\CMS\Component\ComponentHelper::executeComponent( )

.../ComponentHelper.php:377

0.4080

3559040

require_once( '/home/beer-pedia.com/public_html/components/com_content/content.php' )

.../ComponentHelper.php:402

0.4099

3639664

ContentController->execute( )

.../content.php:43

0.4099

3639664

ContentController->display( )

.../BaseController.php:702

0.4612

14225792

ContentController->display( )

.../controller.php:118

0.4621

14241080

Joomla\CMS\Cache\Controller\ViewController->get( )

.../BaseController.php:655

0.4630

14261864

ContentViewArticle->display( )

.../ViewController.php:102

0.5165

14994552

ContentViewArticle->display( )

.../view.html.php:210

0.5165

14994552

ContentViewArticle->loadTemplate( )

.../viewlegacy.php:207

0.5168

15012032

include( '/home/beer-pedia.com/public_html/templates/ja_teline_v/html/com_content/article/default.php' )

.../viewlegacy.php:661

0.5204

15164920

JATemplateHelper::render( )

.../default.php:34

0.5212

15169400

Joomla\CMS\Layout\LayoutHelper::render( )

.../helper.php:547

0.5213

15170072

JLayoutFile->render( )

.../LayoutHelper.php:73

0.5217

15192008

include( '/home/beer-pedia.com/public_html/templates/ja_teline_v/html/layouts/joomla/content/item/default.php' )

.../file.php:121

Η έκθεση διήρκεσε πάνω από 18 μήνες και το σημείο της διαρροής ήταν η εφαρμογή για κινητά της εταιρείας, η οποία δίνει στην κοινότητα «Equity Punks» πρόσβαση σε πληροφορίες, εκπτώσεις σε μπαρ και πολλά άλλα.

Όπως αναφέρεται λεπτομερώς σε μια αναφορά των PenTestPartners, το πρόβλημα έγκειται στο API της εφαρμογής και πιο συγκεκριμένα, στο σύστημα ελέγχου ταυτότητας που βασίζεται σε token. Η γκάφα ασφαλείας προέρχεται από το γεγονός ότι αυτά τα tokens κωδικοποιήθηκαν στο mobile app αντί να μεταδοθούν σε αυτό μετά από ένα επιτυχημένο συμβάν ελέγχου ταυτότητας χρήστη.

Ως εκ τούτου, ο καθένας ήταν ελεύθερος να προσθέσει οποιοδήποτε αναγνωριστικό πελάτη στο τέλος του API endpoint URL και να αποκτήσει πρόσβαση σε ευαίσθητα PII για αυτόν τον πελάτη.

Οι λεπτομέρειες που θα μπορούσαν να εκτεθούν με αυτόν τον απλό τρόπο περιλαμβάνουν τα ακόλουθα:

Όνομα
Ημερομηνία γέννησης
Email
Γένος
Όλες οι διευθύνσεις παράδοσης που είχαν χρησιμοποιηθεί στο παρελθόν
Αριθμός τηλεφώνου
Αριθμός κατοχής μετοχών
Αριθμός μετόχου
Ποσό έκπτωσης μπαρ
Αναγνωριστικό Bar ID - χρησιμοποιείται για τη δημιουργία του κωδικού QR
Αριθμός παραπομπών
Τύπος μπύρας που είχε αγοραστεί στο παρελθόν

Ενώ αυτά τα αναγνωριστικά δεν είναι διαδοχικά, ακολουθούν ένα σύστημα που θα προσφέρει κάτι καλύτερο για δοκιμή αντί να εισάγετε τυχαίους αριθμούς.

Εκτός από το γεγονός ότι ο καθένας μπορούσε να έχει πρόσβαση στις ευαίσθητες λεπτομέρειες άλλων χρηστών εφαρμογών, μετόχων και πελατών της BrewDog, οι συνέπειες αυτού του ευρήματος έπληξαν και την ίδια την εταιρεία. Κάποιος χάκερ που θα μπορούσε να καταχραστεί το ελάττωμα θα μπορούσε να λάβει άπειρες δωρεάν μπύρες και εκπτώσεις δημιουργώντας κωδικούς QR από "φορτωμένους" λογαριασμούς.

Η ανακάλυψη του ελαττώματος ήρθε τον Μάρτιο του 2020, όταν οι ερευνητές του PTP ανέλυσαν την έκδοση εφαρμογής 2.5.5. Παρόλο που η ομάδα της BrewDog ενημερώθηκε για τις λεπτομέρειες αμέσως, δεν κατάφερε να ασφαλίσει το σύστημα της ενώ κυκλοφόρησαν πολλές επόμενες εκδόσεις.

Τελικά, το θέμα επιδιορθώθηκε με την έκδοση 2.5.13 που κυκλοφόρησε στις 27 Σεπτεμβρίου 2021. Η BrewDog επέλεξε να μην αποκαλύψει τίποτα σημαντικό στην ανακοίνωση αλλαγής αυτής της έκδοσης, η οποία αντικατοπτρίζει τη γενική τους στάση στην αντιμετώπιση του περιστατικού.

Ο ερευνητής αναφέρει ότι η BrewDog υποβάθμισε τη σημασία των ευρημάτων του, δεν κατάφερε να αντιμετωπίσει έγκαιρα τα ζητήματα και ισχυρίστηκε ότι δεν έβλεπε επανειλημμένα κανένα στοιχείο παραβίασης δεδομένων.

Από πρακτική σκοπιά, ακόμη και αν η εταιρεία αναζητούσε ενεργά σημάδια παραβίασης, δεν θα υπήρχε κανένας λόγω του τρόπου με τον οποίο θα μπορούσε να αξιοποιηθεί αυτό το ελάττωμα.

Από όσο γνωρίζουμε, η BrewDog δεν ενημέρωσε τους μετόχους και τους πελάτες της για την πιθανότητα παραβίασης των δεδομένων τους. Επικοινωνήσαμε μαζί τους για κάποιο σχόλιο, αλλά δεν έχουμε ακούσει ακόμα.

Λόγω της φύσης των εκτεθειμένων δεδομένων, η εταιρεία θα πρέπει επίσης να ενημερώσει τον υπεύθυνο προστασίας δεδομένων του Ηνωμένου Βασιλείου, καθώς το PII εμπίπτει στον νόμο GDPR που εξακολουθεί να ισχύει στη χώρα.

πηγή: secnews.gr

Νεα

[Νεα] Τελευταια Νεα

Μπυρο-Παιδεια

[Μπυρο-Παιδεια] Τελευταια Αρθρα

Παρουσιασεις

[Παρουσιασεις] Τελευταια Αρθρα

Κατι Μαγειρευεται

[Κατι Μαγειρευεται] Τελευταια Αρθρα

Διασκεδαση

[Διασκεδαση] Τελευταια Αρθρα

Typography

Share This

ΔΗΜΟΦΙΛΗ

Και Μη Ξεχνάτε... Ποτέ Αλκοόλ Και Οδήγηση!

Χρηστες

Επικοινωνία

Μέλος

Πληροφοριες

QR Code

Διακρίσεις

Κοινωνικα Δικτυα