Beer-Pedia.com - Η BrewDog Εξέθεσε Τα Δεδομένα 200.000 Μετόχων Και Πελατών Της

( ! ) Notice: Undefined variable: pos in /home/beer-pedia.com/public_html/templates/ja_teline_v/html/layouts/joomla/content/item/default.php on line 34
Call Stack
#	Time	Memory	Function	Location
1	0.0000	358296	{main}( )	.../index.php:0
2	0.0248	1084672	Joomla\CMS\Application\SiteApplication->execute( )	.../index.php:49
3	0.0248	1084728	Joomla\CMS\Application\SiteApplication->doExecute( )	.../CMSApplication.php:225
4	0.0697	3446208	Joomla\CMS\Application\SiteApplication->dispatch( )	.../SiteApplication.php:233
5	0.0707	3503888	Joomla\CMS\Component\ComponentHelper::renderComponent( )	.../SiteApplication.php:194
6	0.0718	3538024	Joomla\CMS\Component\ComponentHelper::executeComponent( )	.../ComponentHelper.php:377
7	0.0718	3555144	require_once( '/home/beer-pedia.com/public_html/components/com_content/content.php' )	.../ComponentHelper.php:402
8	0.0734	3635768	ContentController->execute( )	.../content.php:43
9	0.0734	3635768	ContentController->display( )	.../BaseController.php:702
10	0.1134	14221792	ContentController->display( )	.../controller.php:118
11	0.1143	14241176	Joomla\CMS\Cache\Controller\ViewController->get( )	.../BaseController.php:655
12	0.1151	14261960	ContentViewArticle->display( )	.../ViewController.php:102
13	0.1664	14990336	ContentViewArticle->display( )	.../view.html.php:210
14	0.1664	14990336	ContentViewArticle->loadTemplate( )	.../viewlegacy.php:207
15	0.1667	15007816	include( '/home/beer-pedia.com/public_html/templates/ja_teline_v/html/com_content/article/default.php' )	.../viewlegacy.php:661
16	0.1702	15160704	JATemplateHelper::render( )	.../default.php:34
17	0.1710	15165184	Joomla\CMS\Layout\LayoutHelper::render( )	.../helper.php:547
18	0.1710	15165856	JLayoutFile->render( )	.../LayoutHelper.php:73
19	0.1715	15187792	include( '/home/beer-pedia.com/public_html/templates/ja_teline_v/html/layouts/joomla/content/item/default.php' )	.../file.php:121

( ! ) Notice: Undefined variable: pos in /home/beer-pedia.com/public_html/templates/ja_teline_v/html/layouts/joomla/content/item/default.php on line 34

Call Stack

Time

Memory

Function

Location

0.0000

358296

{main}( )

.../index.php:0

0.0248

1084672

Joomla\CMS\Application\SiteApplication->execute( )

.../index.php:49

0.0248

1084728

Joomla\CMS\Application\SiteApplication->doExecute( )

.../CMSApplication.php:225

0.0697

3446208

Joomla\CMS\Application\SiteApplication->dispatch( )

.../SiteApplication.php:233

0.0707

3503888

Joomla\CMS\Component\ComponentHelper::renderComponent( )

.../SiteApplication.php:194

0.0718

3538024

Joomla\CMS\Component\ComponentHelper::executeComponent( )

.../ComponentHelper.php:377

0.0718

3555144

require_once( '/home/beer-pedia.com/public_html/components/com_content/content.php' )

.../ComponentHelper.php:402

0.0734

3635768

ContentController->execute( )

.../content.php:43

0.0734

3635768

ContentController->display( )

.../BaseController.php:702

0.1134

14221792

ContentController->display( )

.../controller.php:118

0.1143

14241176

Joomla\CMS\Cache\Controller\ViewController->get( )

.../BaseController.php:655

0.1151

14261960

ContentViewArticle->display( )

.../ViewController.php:102

0.1664

14990336

ContentViewArticle->display( )

.../view.html.php:210

0.1664

14990336

ContentViewArticle->loadTemplate( )

.../viewlegacy.php:207

0.1667

15007816

include( '/home/beer-pedia.com/public_html/templates/ja_teline_v/html/com_content/article/default.php' )

.../viewlegacy.php:661

0.1702

15160704

JATemplateHelper::render( )

.../default.php:34

0.1710

15165184

Joomla\CMS\Layout\LayoutHelper::render( )

.../helper.php:547

0.1710

15165856

JLayoutFile->render( )

.../LayoutHelper.php:73

0.1715

15187792

include( '/home/beer-pedia.com/public_html/templates/ja_teline_v/html/layouts/joomla/content/item/default.php' )

.../file.php:121

( ! ) Notice: Undefined variable: pos in /home/beer-pedia.com/public_html/templates/ja_teline_v/html/layouts/joomla/content/item/default.php on line 35
Call Stack
#	Time	Memory	Function	Location
1	0.0000	358296	{main}( )	.../index.php:0
2	0.0248	1084672	Joomla\CMS\Application\SiteApplication->execute( )	.../index.php:49
3	0.0248	1084728	Joomla\CMS\Application\SiteApplication->doExecute( )	.../CMSApplication.php:225
4	0.0697	3446208	Joomla\CMS\Application\SiteApplication->dispatch( )	.../SiteApplication.php:233
5	0.0707	3503888	Joomla\CMS\Component\ComponentHelper::renderComponent( )	.../SiteApplication.php:194
6	0.0718	3538024	Joomla\CMS\Component\ComponentHelper::executeComponent( )	.../ComponentHelper.php:377
7	0.0718	3555144	require_once( '/home/beer-pedia.com/public_html/components/com_content/content.php' )	.../ComponentHelper.php:402
8	0.0734	3635768	ContentController->execute( )	.../content.php:43
9	0.0734	3635768	ContentController->display( )	.../BaseController.php:702
10	0.1134	14221792	ContentController->display( )	.../controller.php:118
11	0.1143	14241176	Joomla\CMS\Cache\Controller\ViewController->get( )	.../BaseController.php:655
12	0.1151	14261960	ContentViewArticle->display( )	.../ViewController.php:102
13	0.1664	14990336	ContentViewArticle->display( )	.../view.html.php:210
14	0.1664	14990336	ContentViewArticle->loadTemplate( )	.../viewlegacy.php:207
15	0.1667	15007816	include( '/home/beer-pedia.com/public_html/templates/ja_teline_v/html/com_content/article/default.php' )	.../viewlegacy.php:661
16	0.1702	15160704	JATemplateHelper::render( )	.../default.php:34
17	0.1710	15165184	Joomla\CMS\Layout\LayoutHelper::render( )	.../helper.php:547
18	0.1710	15165856	JLayoutFile->render( )	.../LayoutHelper.php:73
19	0.1715	15187792	include( '/home/beer-pedia.com/public_html/templates/ja_teline_v/html/layouts/joomla/content/item/default.php' )	.../file.php:121

( ! ) Notice: Undefined variable: pos in /home/beer-pedia.com/public_html/templates/ja_teline_v/html/layouts/joomla/content/item/default.php on line 35

Call Stack

Time

Memory

Function

Location

0.0000

358296

{main}( )

.../index.php:0

0.0248

1084672

Joomla\CMS\Application\SiteApplication->execute( )

.../index.php:49

0.0248

1084728

Joomla\CMS\Application\SiteApplication->doExecute( )

.../CMSApplication.php:225

0.0697

3446208

Joomla\CMS\Application\SiteApplication->dispatch( )

.../SiteApplication.php:233

0.0707

3503888

Joomla\CMS\Component\ComponentHelper::renderComponent( )

.../SiteApplication.php:194

0.0718

3538024

Joomla\CMS\Component\ComponentHelper::executeComponent( )

.../ComponentHelper.php:377

0.0718

3555144

require_once( '/home/beer-pedia.com/public_html/components/com_content/content.php' )

.../ComponentHelper.php:402

0.0734

3635768

ContentController->execute( )

.../content.php:43

0.0734

3635768

ContentController->display( )

.../BaseController.php:702

0.1134

14221792

ContentController->display( )

.../controller.php:118

0.1143

14241176

Joomla\CMS\Cache\Controller\ViewController->get( )

.../BaseController.php:655

0.1151

14261960

ContentViewArticle->display( )

.../ViewController.php:102

0.1664

14990336

ContentViewArticle->display( )

.../view.html.php:210

0.1664

14990336

ContentViewArticle->loadTemplate( )

.../viewlegacy.php:207

0.1667

15007816

include( '/home/beer-pedia.com/public_html/templates/ja_teline_v/html/com_content/article/default.php' )

.../viewlegacy.php:661

0.1702

15160704

JATemplateHelper::render( )

.../default.php:34

0.1710

15165184

Joomla\CMS\Layout\LayoutHelper::render( )

.../helper.php:547

0.1710

15165856

JLayoutFile->render( )

.../LayoutHelper.php:73

0.1715

15187792

include( '/home/beer-pedia.com/public_html/templates/ja_teline_v/html/layouts/joomla/content/item/default.php' )

.../file.php:121

Η έκθεση διήρκεσε πάνω από 18 μήνες και το σημείο της διαρροής ήταν η εφαρμογή για κινητά της εταιρείας, η οποία δίνει στην κοινότητα «Equity Punks» πρόσβαση σε πληροφορίες, εκπτώσεις σε μπαρ και πολλά άλλα.

Όπως αναφέρεται λεπτομερώς σε μια αναφορά των PenTestPartners, το πρόβλημα έγκειται στο API της εφαρμογής και πιο συγκεκριμένα, στο σύστημα ελέγχου ταυτότητας που βασίζεται σε token. Η γκάφα ασφαλείας προέρχεται από το γεγονός ότι αυτά τα tokens κωδικοποιήθηκαν στο mobile app αντί να μεταδοθούν σε αυτό μετά από ένα επιτυχημένο συμβάν ελέγχου ταυτότητας χρήστη.

Ως εκ τούτου, ο καθένας ήταν ελεύθερος να προσθέσει οποιοδήποτε αναγνωριστικό πελάτη στο τέλος του API endpoint URL και να αποκτήσει πρόσβαση σε ευαίσθητα PII για αυτόν τον πελάτη.

Οι λεπτομέρειες που θα μπορούσαν να εκτεθούν με αυτόν τον απλό τρόπο περιλαμβάνουν τα ακόλουθα:

Όνομα
Ημερομηνία γέννησης
Email
Γένος
Όλες οι διευθύνσεις παράδοσης που είχαν χρησιμοποιηθεί στο παρελθόν
Αριθμός τηλεφώνου
Αριθμός κατοχής μετοχών
Αριθμός μετόχου
Ποσό έκπτωσης μπαρ
Αναγνωριστικό Bar ID - χρησιμοποιείται για τη δημιουργία του κωδικού QR
Αριθμός παραπομπών
Τύπος μπύρας που είχε αγοραστεί στο παρελθόν

Ενώ αυτά τα αναγνωριστικά δεν είναι διαδοχικά, ακολουθούν ένα σύστημα που θα προσφέρει κάτι καλύτερο για δοκιμή αντί να εισάγετε τυχαίους αριθμούς.

Εκτός από το γεγονός ότι ο καθένας μπορούσε να έχει πρόσβαση στις ευαίσθητες λεπτομέρειες άλλων χρηστών εφαρμογών, μετόχων και πελατών της BrewDog, οι συνέπειες αυτού του ευρήματος έπληξαν και την ίδια την εταιρεία. Κάποιος χάκερ που θα μπορούσε να καταχραστεί το ελάττωμα θα μπορούσε να λάβει άπειρες δωρεάν μπύρες και εκπτώσεις δημιουργώντας κωδικούς QR από "φορτωμένους" λογαριασμούς.

Η ανακάλυψη του ελαττώματος ήρθε τον Μάρτιο του 2020, όταν οι ερευνητές του PTP ανέλυσαν την έκδοση εφαρμογής 2.5.5. Παρόλο που η ομάδα της BrewDog ενημερώθηκε για τις λεπτομέρειες αμέσως, δεν κατάφερε να ασφαλίσει το σύστημα της ενώ κυκλοφόρησαν πολλές επόμενες εκδόσεις.

Τελικά, το θέμα επιδιορθώθηκε με την έκδοση 2.5.13 που κυκλοφόρησε στις 27 Σεπτεμβρίου 2021. Η BrewDog επέλεξε να μην αποκαλύψει τίποτα σημαντικό στην ανακοίνωση αλλαγής αυτής της έκδοσης, η οποία αντικατοπτρίζει τη γενική τους στάση στην αντιμετώπιση του περιστατικού.

Ο ερευνητής αναφέρει ότι η BrewDog υποβάθμισε τη σημασία των ευρημάτων του, δεν κατάφερε να αντιμετωπίσει έγκαιρα τα ζητήματα και ισχυρίστηκε ότι δεν έβλεπε επανειλημμένα κανένα στοιχείο παραβίασης δεδομένων.

Από πρακτική σκοπιά, ακόμη και αν η εταιρεία αναζητούσε ενεργά σημάδια παραβίασης, δεν θα υπήρχε κανένας λόγω του τρόπου με τον οποίο θα μπορούσε να αξιοποιηθεί αυτό το ελάττωμα.

Από όσο γνωρίζουμε, η BrewDog δεν ενημέρωσε τους μετόχους και τους πελάτες της για την πιθανότητα παραβίασης των δεδομένων τους. Επικοινωνήσαμε μαζί τους για κάποιο σχόλιο, αλλά δεν έχουμε ακούσει ακόμα.

Λόγω της φύσης των εκτεθειμένων δεδομένων, η εταιρεία θα πρέπει επίσης να ενημερώσει τον υπεύθυνο προστασίας δεδομένων του Ηνωμένου Βασιλείου, καθώς το PII εμπίπτει στον νόμο GDPR που εξακολουθεί να ισχύει στη χώρα.

πηγή: secnews.gr

Νεα

[Νεα] Τελευταια Νεα

Μπυρο-Παιδεια

[Μπυρο-Παιδεια] Τελευταια Αρθρα

Παρουσιασεις

[Παρουσιασεις] Τελευταια Αρθρα

Κατι Μαγειρευεται

[Κατι Μαγειρευεται] Τελευταια Αρθρα

Διασκεδαση

[Διασκεδαση] Τελευταια Αρθρα

Typography

Share This

ΔΗΜΟΦΙΛΗ

Και Μη Ξεχνάτε... Ποτέ Αλκοόλ Και Οδήγηση!

Χρηστες

Επικοινωνία

Μέλος

Πληροφοριες

QR Code

Διακρίσεις

Κοινωνικα Δικτυα