Шотландская пивоваренная компания BrewDog, владеющая одноименной сетью пабов, скомпрометировала персональные данные порядка 200 тыс. человек. По данным исследователей, персональные данные утекали более полутора лет. Такую информацию приводит Bleeping Computer.
Исследователи безопасности из компании PenTestPartners в своем блоге отмечают, что проблема была связана с некорректной схемой авторизации в мобильном приложении сообщества Equity Punks, через которое можно получить информацию о заведениях BrewDog и различные скидки: все пользователи получали одинаковые токены API, что делало процесс авторизации бессмысленным. Как пояснили в PenTestPartners, ошибка в системе безопасности заключалась в том, что токены были жестко закодированы и не передавались обратно в приложение после аутентификации.
Используя эту ошибку, можно было добавить идентификатор любого клиента BrewDog в URL-адрес конечной точки API и получить доступ к конфиденциальной информации того или иного клиента. Этим нехитрым способом можно было просмотреть такую конфиденциальную информацию, как имя, дата рождения, адрес электронной почты, пол, номер телефона, адреса доставки заказов, количество принадлежащих клиенту акций компании, размер скидки бара, ID скидки (используется для создания QR-кода), сорта приобретенного пива и другие данные.
Помимо того, что любой человек мог получить доступ к персональным данным клиентов, ошибка в приложении могла непосредственно ударить по бизнесу компании: злоумышленники могли бесконечное число раз получать скидки или даже бесплатное пиво, генерируя QR-коды из загруженных учетных записей.
По словам исследователей, проблема информационной безопасности была устранена в конце сентября, когда компания BrewDog выпустила новую версию приложения, но решила не раскрывать характер изменений, сделанных в этом релизе. Судя по всему, компания не сообщала своим инвесторам и клиентам об инциденте информационной безопасности, но обязана будет уведомить о нем Британское управление по защите данных (несмотря на выход Великобритании из Евросоюза, в стране по-прежнему действуют нормы европейского регламента GDPR по защите данных).