English Greek
14
Δευ, Οκτ
10 New Articles

ΜΟΙΡΑΣΤΕΙΤΕ ΤΟ ΑΡΘΡΟ

Η BrewDog Εξέθεσε Τα Δεδομένα 200.000 Μετόχων Και Πελατών Της

Διεθνη
Typography
  • Smaller Small Medium Big Bigger
  • Default Helvetica Segoe Georgia Times

Η BrewDog, γνωστή αλυσίδα ζυθοποιίας και παμπ της Σκωτίας, αποκάλυψε ότι αποκαλύφθηκαν τα δεδομένα 200.000 μετόχων και πελατών της.

Η έκθεση διήρκεσε πάνω από 18 μήνες και το σημείο της διαρροής ήταν η εφαρμογή για κινητά της εταιρείας, η οποία δίνει στην κοινότητα «Equity Punks» πρόσβαση σε πληροφορίες, εκπτώσεις σε μπαρ και πολλά άλλα.

Όπως αναφέρεται λεπτομερώς σε μια αναφορά των PenTestPartners, το πρόβλημα έγκειται στο API της εφαρμογής και πιο συγκεκριμένα, στο σύστημα ελέγχου ταυτότητας που βασίζεται σε token. Η γκάφα ασφαλείας προέρχεται από το γεγονός ότι αυτά τα tokens κωδικοποιήθηκαν στο mobile app αντί να μεταδοθούν σε αυτό μετά από ένα επιτυχημένο συμβάν ελέγχου ταυτότητας χρήστη.

Ως εκ τούτου, ο καθένας ήταν ελεύθερος να προσθέσει οποιοδήποτε αναγνωριστικό πελάτη στο τέλος του API endpoint URL και να αποκτήσει πρόσβαση σε ευαίσθητα PII για αυτόν τον πελάτη.

Οι λεπτομέρειες που θα μπορούσαν να εκτεθούν με αυτόν τον απλό τρόπο περιλαμβάνουν τα ακόλουθα:

  • Όνομα
  • Ημερομηνία γέννησης
  • Email
  • Γένος
  • Όλες οι διευθύνσεις παράδοσης που είχαν χρησιμοποιηθεί στο παρελθόν
  • Αριθμός τηλεφώνου
  • Αριθμός κατοχής μετοχών
  • Αριθμός μετόχου
  • Ποσό έκπτωσης μπαρ
  • Αναγνωριστικό Bar ID - χρησιμοποιείται για τη δημιουργία του κωδικού QR
  • Αριθμός παραπομπών
  • Τύπος μπύρας που είχε αγοραστεί στο παρελθόν

Ενώ αυτά τα αναγνωριστικά δεν είναι διαδοχικά, ακολουθούν ένα σύστημα που θα προσφέρει κάτι καλύτερο για δοκιμή αντί να εισάγετε τυχαίους αριθμούς.

Εκτός από το γεγονός ότι ο καθένας μπορούσε να έχει πρόσβαση στις ευαίσθητες λεπτομέρειες άλλων χρηστών εφαρμογών, μετόχων και πελατών της BrewDog, οι συνέπειες αυτού του ευρήματος έπληξαν και την ίδια την εταιρεία. Κάποιος χάκερ που θα μπορούσε να καταχραστεί το ελάττωμα θα μπορούσε να λάβει άπειρες δωρεάν μπύρες και εκπτώσεις δημιουργώντας κωδικούς QR από "φορτωμένους" λογαριασμούς.

Η ανακάλυψη του ελαττώματος ήρθε τον Μάρτιο του 2020, όταν οι ερευνητές του PTP ανέλυσαν την έκδοση εφαρμογής 2.5.5. Παρόλο που η ομάδα της BrewDog ενημερώθηκε για τις λεπτομέρειες αμέσως, δεν κατάφερε να ασφαλίσει το σύστημα της ενώ κυκλοφόρησαν πολλές επόμενες εκδόσεις.

Τελικά, το θέμα επιδιορθώθηκε με την έκδοση 2.5.13 που κυκλοφόρησε στις 27 Σεπτεμβρίου 2021. Η BrewDog επέλεξε να μην αποκαλύψει τίποτα σημαντικό στην ανακοίνωση αλλαγής αυτής της έκδοσης, η οποία αντικατοπτρίζει τη γενική τους στάση στην αντιμετώπιση του περιστατικού.

Ο ερευνητής αναφέρει ότι η BrewDog υποβάθμισε τη σημασία των ευρημάτων του, δεν κατάφερε να αντιμετωπίσει έγκαιρα τα ζητήματα και ισχυρίστηκε ότι δεν έβλεπε επανειλημμένα κανένα στοιχείο παραβίασης δεδομένων.

Από πρακτική σκοπιά, ακόμη και αν η εταιρεία αναζητούσε ενεργά σημάδια παραβίασης, δεν θα υπήρχε κανένας λόγω του τρόπου με τον οποίο θα μπορούσε να αξιοποιηθεί αυτό το ελάττωμα.

Από όσο γνωρίζουμε, η BrewDog δεν ενημέρωσε τους μετόχους και τους πελάτες της για την πιθανότητα παραβίασης των δεδομένων τους. Επικοινωνήσαμε μαζί τους για κάποιο σχόλιο, αλλά δεν έχουμε ακούσει ακόμα.

Λόγω της φύσης των εκτεθειμένων δεδομένων, η εταιρεία θα πρέπει επίσης να ενημερώσει τον υπεύθυνο προστασίας δεδομένων του Ηνωμένου Βασιλείου, καθώς το PII εμπίπτει στον νόμο GDPR που εξακολουθεί να ισχύει στη χώρα.

πηγή: secnews.gr

 
 

 

 

Μόνο τα εγγεγραμένα μέλη έχουν το δικαίωμα σχολιασμού των άρθρων.

Διαφήμιση

ΜΟΙΡΑΣΤΕΙΤΕ ΤΟ ΑΡΘΡΟ

ΔΙΑΒΑΣΤΕ ΑΚΟΜΑ

Mikkeller - No Strangers To Haze / The 55 To Walthamstow
Γιώργος Ιορδανίδης

Δύο νέες ετικέτες κυκλοφόρησε η Mikkeller Brewpub London.

Hudson Valley - Tradewinds III / Holy Icon / Graven Image / Pillow Hat
Γιώργος Ιορδανίδης

Τέσσερεις νέες ετικέτες κυκλοφόρησε η Hudson Valley Brewery.

Beer Baroness - Quality Time
Γιώργος Ιορδανίδης

Μια νέα ετικέτα κυκλοφόρησε η Beer Baroness Brewing Co.

Night Shift - Stop Hate. Spread Love.
Γιώργος Ιορδανίδης

Μια νέα ετικέτα, συνεργασία με τον Ambrojah Williams (τοπικός καλλιτέχνης), κυκλοφόρησε η Night Shift Brewing.

Νέο Περιστατικό Με Επικίνδυνη Μπύρα - Κίνδυνος Έκρηξης
cibum.gr

Αυξάνονται οι περιπτώσεις ανακλήσεων μπύρας σε κουτί λόγω διόγκωσης και πιθανής έκρηξης.

Camerons - Motörhead Ace Of Spades 40th Anniversary
Γιώργος Ιορδανίδης

Μια νέα επετειακή ετικέτα, για τα 40 χρόνια απ' την κυκλοφορία του επικού Ace Of Spades των Motörhead, κυκλοφορεί η Camerons Brewery.

Άλλα Άρθρα

Και Μη Ξεχνάτε... Ποτέ Αλκοόλ Και Οδήγηση!

Κράτα το

Κράτα το

Κράτα το

Κράτα το

Κράτα το

Κράτα το

Κράτα το

Κράτα το

Κράτα το

Κράτα το

Κράτα το

Κράτα το

Κράτα το