Reklam
Security

BrewDog, 200.000’den fazla hissedar ve müşteri için verileri ifşa etti

Kalabalık sahipliği modeli ve lezzetli IPA’ları ile ünlü İskoç bira fabrikası ve pub zinciri BrewDog, 200.000 hissedarının ve müşterisinin ayrıntılarını geri dönülmez bir şekilde ifşa etti.

Maruz kalma 18 aydan fazla sürdü ve sızıntının amacı, şirketin ‘Equity Punks’ topluluğuna bilgiye, barlarda indirimlere ve daha fazlasına erişmesini sağlayan mobil uygulamasıydı.

ayrıntılı olarak bir PenTestPartners raporu, sorun uygulamanın API’sinde ve daha özel olarak belirteç tabanlı kimlik doğrulama sisteminde yatmaktadır. Güvenlik hatası, bu belirteçlerin başarılı bir kullanıcı doğrulama olayının ardından mobil uygulamaya iletilmek yerine sabit kodlanmış olmasından kaynaklanmaktadır.

Bu nedenle, herkes API uç noktası URL’sinin sonuna herhangi bir müşteri kimliğini eklemekte ve o müşteri için hassas PII’ye (kişisel olarak tanımlanabilir bilgiler) erişmekte özgürdü.

Bu basit yolla ortaya çıkabilecek ayrıntılar şunları içerir:

  • İsim
  • Doğum tarihi
  • E
  • Cinsiyet
  • Daha önce kullanılan tüm teslimat adresleri
  • Telefon numarası
  • Sahip olunan hisse sayısı
  • Hissedar numarası
  • Bar indirim tutarı
  • Bar indirim kimliği – QR kodunu oluşturmak için kullanılır
  • Yönlendirme sayısı
  • Daha önce satın alınan bira türü
API'yi kötüye kullanmanın bir sonucu olarak açığa çıkan uygulama kullanıcı ayrıntıları
API’yi kötüye kullanmanın bir sonucu olarak açığa çıkan uygulama kullanıcı ayrıntıları. – PenTestPartners

Bu kimlikler sıralı olmasa da, yalnızca rastgele sayılar girmek yerine denemek için daha iyi bir şey sağlayacak bir sistemi takip ederler.

Herhangi birinin diğer uygulama kullanıcılarının, hissedarlarının ve BrewDog müşterilerinin hassas ayrıntılarına erişebilmesinin yanı sıra, bu bulgunun sonuçları şirketin kendisini de etkiledi. Kusurun kötüye kullanımı, “yüklü” hesaplardan QR kodları oluşturarak sonsuz ücretsiz bira ve indirimler alabilir.

Kusurun keşfi, Mart 2020’de, PTP araştırmacılarının 2.5.5 uygulama sürümünü analiz ettiği zaman geldi. BrewDog’un ekibi ayrıntılardan hemen haberdar edilmiş olsa da, takip eden birden fazla sürümde belirteç sistemlerini güvence altına alamadılar.

Sonunda sorun, 27 Eylül 2021’de çıkan 2.5.13 sürümüyle düzeltildi. Ancak BrewDog, olayla ilgili genel tutumlarını yansıtan bu sürümün değişiklik günlüğü bildiriminde önemli hiçbir şeyi açıklamamayı seçti.

Sürüm notları, büyük bir veri sızıntısını ele aldığını açıklamaz
Sürüm notları, büyük bir veri sızıntısı riskini ele almayı açıklamaz. – PenTestPartners

Araştırmacı, BrewDog’un bulgularının önemini küçümsediğini, sorunları zamanında ele almadığını ve tekrar tekrar bir veri ihlali kanıtı görmediğini iddia ettiğini bildirdi.

Pratik bir bakış açısıyla, şirket aktif olarak bir ihlal belirtisi arıyor olsa bile, bu kusurun sessiz bir şekilde kullanılması nedeniyle herhangi bir şey olmazdı.

Bildiğimiz kadarıyla BrewDog, hissedarlarını ve müşterilerini verilerinin ihlal edilmiş olma olasılığı konusunda bilgilendirmedi. Bir yorum için onlara ulaştık, ancak henüz haber alamadık.

Açıklanan verilerin doğası gereği, kişisel bilgiler GDPR kapsamına girdiği için şirketin İngiltere’nin veri koruma görevlisini de bilgilendirmesi gerekecektir. hala geçerli ülkede.


Source link

Başa dön tuşu

Reklam Engelleyici Algılandı

Lütfen reklam engelleyiciyi devre dışı bırakarak bizi desteklemeyi düşünün