BrewDog, l’un des plus grands brasseurs de bière artisanale au monde, a exposé des informations personnellement identifiables (PII) appartenant à plus de 200 000 de ses actionnaires et clients, selon la cyber-sécurité des chercheurs.
La société de conseil en cybersécurité PenTest Partners a découvert qu’une faille dans l’application officielle BrewDog, qui a persisté pendant plus de 18 mois, permettait à quiconque d’accéder facilement aux informations personnelles d’autres utilisateurs.
Dans son rapport détaillé, PenTest Partners note que l’application mobile a distribué le même jeton de support d’API codé en dur, ce qui a effectivement rendu l’autorisation de demande inutile.
Nous examinons comment nos lecteurs utilisent les VPN avec des sites de streaming comme Netflix afin que nous puissions améliorer notre contenu et offrir de meilleurs conseils. Cette enquête ne prendra pas plus de 60 secondes de votre temps, et nous apprécierions énormément que vous partagiez vos expériences avec nous.
>> Cliquez ici pour lancer le sondage dans une nouvelle fenêtre <
« Il était donc trivial pour tout utilisateur d’accéder aux informations personnelles, à l’actionnariat, à la remise de bar, etc. de tout autre utilisateur » partager les chercheurs.
Les chercheurs disent que, grâce à la faille, n’importe quel utilisateur pourrait ajouter l’ID client d’un autre utilisateur à l’URL du point de terminaison de l’API pour extraire ses informations personnelles et d’autres détails.
En plus d’être préjudiciable à l’utilisateur, la faille aurait également pu être utilisée pour nuire à l’entreprise, car les détails divulgués auraient pu être utilisés pour générer des codes QR afin d’obtenir des bières à prix réduit et même gratuites.
BrewDog a commencé à utiliser des jetons codés en dur avec la version 2.5.5 de son application, lancée en mars 2020, avant de finalement corriger la faille de la version 2.5.13 en septembre 2021.
Sommaire
Manque d’alertes ?
Inquiétant, la société a décidé de ne pas révéler la vulnérabilité à ses utilisateurs, même après sa correction, allant jusqu’à affirmer qu’il n’y avait rien de « trop excitant dans cette version ».
De plus, PenTesting Partners affirme que, dans sa correspondance avec la société, BrewDog a affirmé n’avoir trouvé aucune preuve de l’abus du défaut.
« Nous avons récemment été informés d’une vulnérabilité dans l’une de nos applications par une société de services de sécurité technique tierce, après quoi nous avons immédiatement retiré l’application et résolu le problème », a déclaré la société dans un communiqué.
« Nous n’avons identifié aucun autre cas d’accès via cette voie ou de données personnelles ayant été impactées de quelque manière que ce soit. Il n’y avait donc aucune obligation d’informer les utilisateurs. »
Cependant, les chercheurs suggèrent que la nature de la faille signifie que son abus n’aurait pas été apparent dans les journaux, rendant l’identification d’une utilisation abusive pratiquement impossible.
Alors que la société avait demandé aux chercheurs de ne pas les nommer dans sa divulgation, BleepingComputer soutient que BrewDog sera obligé d’informer le responsable de la protection des données du Royaume-Uni, car les informations personnelles relèvent du règlement général sur la protection des données. (RGPD).
Cependant, il semble que l’entreprise ne soit pas d’accord. Dans un message de forum privé vu par TechRadar Pro, la société a déclaré aux actionnaires qu’elle n’avait aucune obligation de signaler l’incident au bureau du commissaire à l’information (ICO), selon l’avis d’un expert externe.
« L’ICO est très clair à ce sujet », a écrit la société. « Nous devons notifier lorsque les données des utilisateurs ont été mises en danger. Comme il s’agissait d’un rapport de vulnérabilité et que les seules données personnelles auxquelles on a accédé étaient celles du tiers effectuant l’évaluation, il n’y a aucune obligation de notification. »
BrewDog a également pris des mesures pour préparer les actionnaires à un contrecoup qui pourrait survenir à la suite de la découverte du bogue.
« La divulgation des vulnérabilités est un élément clé du paysage de la cybersécurité et est un phénomène courant. De nombreuses entreprises invitent cette pratique et offrent des primes à ceux qui trouvent des problèmes. Malheureusement, suite à la presse négative plus tôt cette année, cet événement peut être vu publiquement à travers un autre lentille. »
TechRadar Pro a contacté BrewDog pour un commentaire.
Mettre à jour:
BrewDog nous a depuis fourni la déclaration suivante :
« Nous sommes reconnaissants envers la société de services de sécurité technique tierce de nous avoir alerté sur cette vulnérabilité. Nous nous engageons totalement à assurer la sécurité de la vie privée de nos utilisateurs. nous pouvons nous assurer que le risque d’un incident de cybersécurité est minimisé. »
Passant par BipOrdinateur
