Posté le octobre 9, 2021 à 7:29
ENVIRON 200 000 DONNÉES D’ACTIONNAIRES DE BREWDOG EXPOSÉES À DES HACKERS
Selon des recherches récentes, BrewDog a exposé les informations personnelles identifiables (IPI) d’environ 200 000 actionnaires. Ces données ont été exposées pendant une période d’un an et demi.
Cette violation a mis en évidence la situation dans laquelle se trouvent de nombreuses entreprises et utilisateurs lorsqu’ils communiquent leurs données personnelles. Les acteurs malveillants ont perfectionné les tactiques qu’ils utilisent pour attaquer les entreprises. Un grand nombre d’informations sont laissées à découvert lorsqu’on ne dispose pas des bons systèmes de cybersécurité.
BrewDog n’a pas offert de protection supplémentaire aux utilisateurs
Selon un récent rapport de PenTestPartners, BrewDog n’a pas agi de manière responsable et n’a pas informé les actionnaires que leurs données avaient été exposées. En outre, la firme a également exhorté l’entreprise à ne pas mentionner son nom dans la recherche qui décrivait une faille dans les systèmes de sécurité.
Un rapport publié par la société de sécurité le 8 octobre indiquait que BrewDog utilisait un jeton d’authentification Bearer qui était codé en dur. La société de cybersécurité a également noté que ce jeton était lié à des points de terminaison API utilisés ultérieurement dans les applications mobiles du brasseur écossais.
Ces jetons d’authentification ont été renvoyés, mais ils n’ont pas rempli leur fonction de protection des informations d’identification des utilisateurs. Au lieu de se déclencher lorsqu’un utilisateur a déjà émis ses informations d’identification pour permettre l’accès à un point de terminaison, ces informations d’identification étaient codées en dur, et elles manquaient des étapes de vérification importantes.
La recherche note également que certains des actionnaires qui avaient été affectés étaient des membres de PenTestPartners. Ces membres ajoutaient leurs identifiants clients les uns aux autres à la fin des URL des points de terminaison de l’API pour effectuer des tests spécifiques. Ces tests ont révélé que ces membres pouvaient accéder aux DPI des actionnaires d’Equity for sans passer par un processus d’authentification complexe.
Parmi les données auxquelles il était possible d’accéder en raison de cette faiblesse figurent les noms, le sexe, les dates de naissance, les adresses électroniques, les numéros de téléphone, les adresses de livraison, le nombre d’actionnaires, le montant des parts détenues, les références et d’autres détails encore. Néanmoins, les identifiants des clients n’ont pas été jugés « séquentiels ».
Dans le rapport, les chercheurs déclarent qu' »un attaquant pourrait forcer les identifiants des clients et télécharger l’ensemble de la base de données des clients. Non seulement cela pourrait permettre d’identifier les actionnaires ayant les plus grandes participations ainsi que leur adresse personnelle, mais cela pourrait également être utilisé pour générer une vie entière de codes QR de réduction. »
En outre, PenTestPartners a déclaré que certaines des DPI exposées entraient dans la catégorie de la bannière de protection GDPR. En outre, le processus de codage en dur des jetons d’authentification rend encore plus difficile la conformité de ces jetons aux normes requises.
Faiblesse de sécurité attribuée à un problème de correctif non résolu
La recherche a également indiqué qu’une fois les anciennes versions de l’application BrewDog évaluées, la faiblesse a été introduite dans la version 2.5.5, publiée en mars 2020. En outre, ce correctif n’a pas été résolu pendant environ un an et demi.
Après que PenTestPartners a révélé ces résultats, un chercheur en cybersécurité connu sous le nom d’Alan Monie a testé six builds différents. Les recherches qui en ont résulté ont montré que le problème a été résolu après quatre tentatives, et qu’il a été corrigé dans la version 2.5.13 mise à la disposition du public le 27 septembre.
D’autre part, ZDNet a reçu une réponse de BrewDog indiquant que la société a été alertée d’une vulnérabilité dans l’une de ses applications. Selon le brasseur, son équipe de sécurité a retiré l’application et résolu le problème.
« Nous n’avons pas identifié d’autres cas d’accès par cette voie ou de données personnelles ayant été affectées de quelque manière que ce soit. Il n’était donc pas nécessaire d’informer les utilisateurs », ajoute la réponse de BrewDog.
BrewDog a également ajouté qu’elle appréciait les efforts de l’entreprise de cybersécurité tierce pour avoir révélé cette vulnérabilité. Elle a également rassuré ses clients quant à son engagement envers la vie privée des utilisateurs et a déclaré que son infrastructure de cybersécurité était en cours de révision pour s’assurer que l’exposition aux crimes de cybersécurité était minimale.
« BrewDog a été informé d’une vulnérabilité et de la possibilité que des données soient compromises. Les enquêtes n’ont trouvé aucune preuve de cette compromission. Il n’y a donc aucune obligation d’informer l’ICO. Une partie indépendante a documenté l’affaire comme l’exige l’ICO », a ajouté BrewDog.
