Connect with us

Deutsch

BrewDog hat über ein Jahr lang Daten von 200.000 Aktionären preisgegeben

Published

on

BrewDog hat die persönlich identifizierbaren Informationen (PII) von rund 200.000 Aktionären für den größten Teil von 18 Monaten offengelegt, sagen Forscher.

Laut PenTestPartners hat BrewDog in der Untersuchung, die die Sicherheitslücke aufdeckte, “es abgelehnt, ihre Aktionäre zu informieren und nicht genannt zu werden”.

Am 8. Oktober teilte das Cybersicherheitsunternehmen mit, dass die schottische Brauerei ein hartcodiertes Bearer-Authentifizierungstoken implementiert hat, das mit API-Endpunkten verknüpft ist, die für die mobilen Anwendungen von BrewDog entwickelt wurden.

Die Token wurden zurückgegeben, aber anstatt ausgelöst zu werden, sobald ein Benutzer seine Anmeldeinformationen übermittelt hat – und damit den Zugriff auf einen Endpunkt ermöglicht –, da sie fest codiert waren, wurde dieser Überprüfungsschritt verpasst.

PenTestPartners-Mitglieder, die zufällig Aktionäre von BrewDog waren, fügten die Kunden-IDs des anderen am Ende der API-Endpunkt-URLs an. Bei Tests stellten sie fest, dass sie ohne eine geeignete Authentifizierungsherausforderung auf die PII von Equity for Punks-Aktionären zugreifen konnten.

Namen, Geburtsdaten, E-Mail-Adressen, Geschlechter, Telefonnummern, zuvor verwendete Lieferadressen, Aktionärsnummern, gehaltene Aktien, Empfehlungen und mehr waren zugänglich. Die Kunden-IDs wurden jedoch nicht als “sequentiell” betrachtet.

“Ein Angreifer könnte die Kunden-IDs per Brute Force erzwingen und die gesamte Kundendatenbank herunterladen”, sagten die Forscher. “Damit könnten nicht nur Aktionäre mit den größten Beteiligungen zusammen mit ihrer Wohnadresse identifiziert, sondern auch ein lebenslanger Vorrat an Rabatt-QR-Codes generiert werden!”

PenTestPartners wies darauf hin, dass einige der offengelegten PII unter das GDPR-Schutzbanner fallen würden und hartkodierte Authentifizierungstoken diese Standards nicht erfüllen.

Basierend auf einer Analyse älterer Versionen der BrewDog-App sagen die Forscher, dass das Sicherheitsproblem in der Version 2.5.5 eingeführt wurde, die im März 2020 veröffentlicht wurde und ungefähr 18 Monate lang nicht behoben wurde.

Nachdem PenTestPartners mit seinen Erkenntnissen dies erreicht hatte, testete der Forscher Alan Monie insgesamt sechs verschiedene Builds. Es dauerte vier Fixversuche, bis das Problem in Version 2.5.13 behoben wurde, die am 27. September veröffentlicht wurde.

PenTestPartner

Das Änderungsprotokoll für diese Version scheint jedoch die Schwachstellenbehebung nicht zu erwähnen.

„Die Schwachstelle ist behoben“, sagt der Forscher. „Soweit ich weiß, hat BrewDog seine Kunden und Aktionäre nicht darauf aufmerksam gemacht, dass ihre persönlichen Daten im Internet ungeschützt gelassen wurden. Ich habe einen Monat mit BrewDog gearbeitet und sechs verschiedene Versionen ihrer App kostenlos getestet enttäuscht von BrewDog sowohl als Kunde, als Aktionär als auch in der Art und Weise, wie sie auf die Sicherheitsoffenlegung reagiert haben.”

Im Gespräch mit ZDNet gab ein BrewDog-Sprecher die folgende Erklärung ab:

“Wir wurden vor kurzem von einem externen technischen Sicherheitsdienst über eine Sicherheitslücke in einer unserer Apps informiert, woraufhin wir die App sofort deaktiviert und das Problem behoben haben. Wir haben keine weiteren Zugriffe über diesen Weg oder personenbezogene Daten identifiziert.” in irgendeiner Weise betroffen waren, sodass eine Benachrichtigung der Nutzer nicht erforderlich war.

Wir sind dem Drittanbieter für technische Sicherheitsdienste dankbar, dass er uns auf diese Sicherheitsanfälligkeit aufmerksam gemacht hat. Wir verpflichten uns vollständig, die Sicherheit der Privatsphäre unserer Benutzer zu gewährleisten. Unsere Sicherheitsprotokolle und Schwachstellenbewertungen werden ständig überprüft und verfeinert, damit wir sicherstellen können, dass das Risiko eines Cyber-Sicherheitsvorfalls minimiert wird.”

BrewDog sagte uns auch:

“BrewDog wurde über eine Schwachstelle und die Möglichkeit einer Kompromittierung von Daten informiert. Untersuchungen ergaben keine Hinweise darauf. Daher besteht keine Verpflichtung, das ICO zu informieren. Eine unabhängige Partei hat den Fall dokumentiert, wie es von der ICO verlangt wird.”

Frühere und verwandte Berichterstattung


Haben Sie einen Tipp? Kontaktieren Sie uns sicher über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0


Continue Reading

Copyright © 2021 Meta Mag Inc.