HomeSecurityΗ BrewDog εξέθεσε τα δεδομένα 200.000 μετόχων και πελατών της

Η BrewDog εξέθεσε τα δεδομένα 200.000 μετόχων και πελατών της

Η BrewDog, γνωστή αλυσίδα ζυθοποιίας και παμπ της Σκωτίας, αποκάλυψε ότι αποκαλύφθηκαν τα δεδομένα 200.000 μετόχων και πελατών της.

BrewDog

Δείτε επίσης: Neiman Marcus: Ειδοποιεί εκατομμύρια πελάτες για παραβίαση δεδομένων

Η έκθεση διήρκεσε πάνω από 18 μήνες και το σημείο της διαρροής ήταν η εφαρμογή για κινητά της εταιρείας, η οποία δίνει στην κοινότητα «Equity Punks» πρόσβαση σε πληροφορίες, εκπτώσεις σε μπαρ και πολλά άλλα.

Όπως αναφέρεται λεπτομερώς σε μια αναφορά των PenTestPartners, το πρόβλημα έγκειται στο API της εφαρμογής και πιο συγκεκριμένα, στο σύστημα ελέγχου ταυτότητας που βασίζεται σε token. Η γκάφα ασφαλείας προέρχεται από το γεγονός ότι αυτά τα tokens κωδικοποιήθηκαν στο mobile app αντί να μεταδοθούν σε αυτό μετά από ένα επιτυχημένο συμβάν ελέγχου ταυτότητας χρήστη.

#secnews #asteroid 

Τεράστιος δυνητικά επικίνδυνος αστεροειδής πλησιάζει τη Γη. Ένας "δυνητικά επικίνδυνος" αστεροειδής στο μέγεθος ενός γηπέδου ποδοσφαίρου θα περάσει κοντά στον πλανήτη μας τις πρώτες πρωινές ώρες αύριο (4 Δεκεμβρίου) — και μπορείτε να τον παρακολουθήσετε ζωντανά. Ο γιγαντιαίος διαστημικός βράχος, γνωστός ως 2020 XR, ο οποίος ταξιδεύει με περίπου 44.300 χιλιόμετρα την ώρα, θα φτάσει στην ελάχιστη απόσταση των 2,2 εκατομμυρίων χιλιομέτρων από τη Γη στις 0:27 ET — η πλησιέστερη προσέγγισή του στον πλανήτη μας, σύμφωνα με το Jet Propulsion Laboratory (JPL) της NASA.

00:00 Εισαγωγή
00:21 Κοντινότερη προσέγγιση
00:55 Near Earth Obgects
01:31 Μέγεθος
01:59 Επόμενη προσέγγιση

Μάθετε περισσότερα: https://www.secnews.gr/633112/terastios-dinitika-epikindinos-asteroeidis-plisiazei-gi/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #asteroid

Τεράστιος δυνητικά επικίνδυνος αστεροειδής πλησιάζει τη Γη. Ένας "δυνητικά επικίνδυνος" αστεροειδής στο μέγεθος ενός γηπέδου ποδοσφαίρου θα περάσει κοντά στον πλανήτη μας τις πρώτες πρωινές ώρες αύριο (4 Δεκεμβρίου) — και μπορείτε να τον παρακολουθήσετε ζωντανά. Ο γιγαντιαίος διαστημικός βράχος, γνωστός ως 2020 XR, ο οποίος ταξιδεύει με περίπου 44.300 χιλιόμετρα την ώρα, θα φτάσει στην ελάχιστη απόσταση των 2,2 εκατομμυρίων χιλιομέτρων από τη Γη στις 0:27 ET — η πλησιέστερη προσέγγισή του στον πλανήτη μας, σύμφωνα με το Jet Propulsion Laboratory (JPL) της NASA.

00:00 Εισαγωγή
00:21 Κοντινότερη προσέγγιση
00:55 Near Earth Obgects
01:31 Μέγεθος
01:59 Επόμενη προσέγγιση

Μάθετε περισσότερα: https://www.secnews.gr/633112/terastios-dinitika-epikindinos-asteroeidis-plisiazei-gi/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LlNBWmhrWDNKVF9N

Τεράστιος δυνητικά επικίνδυνος αστεροειδής πλησιάζει τη Γη

SecNewsTV 15 hours ago

Ως εκ τούτου, ο καθένας ήταν ελεύθερος να προσθέσει οποιοδήποτε αναγνωριστικό πελάτη στο τέλος του API endpoint URL και να αποκτήσει πρόσβαση σε ευαίσθητα PII για αυτόν τον πελάτη.

Δείτε επίσης: Η γιγαντιαία εταιρεία Forward Air αναφέρει παραβίαση δεδομένων

Οι λεπτομέρειες που θα μπορούσαν να εκτεθούν με αυτόν τον απλό τρόπο περιλαμβάνουν τα ακόλουθα:

  • Όνομα
  • Ημερομηνία γέννησης
  • Email
  • Γένος
  • Όλες οι διευθύνσεις παράδοσης που είχαν χρησιμοποιηθεί στο παρελθόν
  • Αριθμός τηλεφώνου
  • Αριθμός κατοχής μετοχών
  • Αριθμός μετόχου
  • Ποσό έκπτωσης μπαρ
  • Αναγνωριστικό Bar ID – χρησιμοποιείται για τη δημιουργία του κωδικού QR
  • Αριθμός παραπομπών
  • Τύπος μπύρας που είχε αγοραστεί στο παρελθόν

Ενώ αυτά τα αναγνωριστικά δεν είναι διαδοχικά, ακολουθούν ένα σύστημα που θα προσφέρει κάτι καλύτερο για δοκιμή αντί να εισάγετε τυχαίους αριθμούς.

Εκτός από το γεγονός ότι ο καθένας μπορούσε να έχει πρόσβαση στις ευαίσθητες λεπτομέρειες άλλων χρηστών εφαρμογών, μετόχων και πελατών της BrewDog, οι συνέπειες αυτού του ευρήματος έπληξαν και την ίδια την εταιρεία. Κάποιος χάκερ που θα μπορούσε να καταχραστεί το ελάττωμα θα μπορούσε να λάβει άπειρες δωρεάν μπύρες και εκπτώσεις δημιουργώντας κωδικούς QR από “φορτωμένους” λογαριασμούς.

Η ανακάλυψη του ελαττώματος ήρθε τον Μάρτιο του 2020, όταν οι ερευνητές του PTP ανέλυσαν την έκδοση εφαρμογής 2.5.5. Παρόλο που η ομάδα της BrewDog ενημερώθηκε για τις λεπτομέρειες αμέσως, δεν κατάφερε να ασφαλίσει το σύστημα της ενώ κυκλοφόρησαν πολλές επόμενες εκδόσεις.

Τελικά, το θέμα επιδιορθώθηκε με την έκδοση 2.5.13 που κυκλοφόρησε στις 27 Σεπτεμβρίου 2021. Η BrewDog επέλεξε να μην αποκαλύψει τίποτα σημαντικό στην ανακοίνωση αλλαγής αυτής της έκδοσης, η οποία αντικατοπτρίζει τη γενική τους στάση στην αντιμετώπιση του περιστατικού.

Δείτε επίσης: MyRepublic: Αντιμετωπίζει μια παραβίαση δεδομένων

Ο ερευνητής αναφέρει ότι η BrewDog υποβάθμισε τη σημασία των ευρημάτων του, δεν κατάφερε να αντιμετωπίσει έγκαιρα τα ζητήματα και ισχυρίστηκε ότι δεν έβλεπε επανειλημμένα κανένα στοιχείο παραβίασης δεδομένων.

Από πρακτική σκοπιά, ακόμη και αν η εταιρεία αναζητούσε ενεργά σημάδια παραβίασης, δεν θα υπήρχε κανένας λόγω του τρόπου με τον οποίο θα μπορούσε να αξιοποιηθεί αυτό το ελάττωμα.

Από όσο γνωρίζουμε, η BrewDog δεν ενημέρωσε τους μετόχους και τους πελάτες της για την πιθανότητα παραβίασης των δεδομένων τους. Επικοινωνήσαμε μαζί τους για κάποιο σχόλιο, αλλά δεν έχουμε ακούσει ακόμα.

Λόγω της φύσης των εκτεθειμένων δεδομένων, η εταιρεία θα πρέπει επίσης να ενημερώσει τον υπεύθυνο προστασίας δεδομένων του Ηνωμένου Βασιλείου, καθώς το PII εμπίπτει στον νόμο GDPR που εξακολουθεί να ισχύει στη χώρα.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS