La cadena de cervecerías y pubs BrewDog ha actualizado su aplicación móvil después de que piratas informáticos éticos descubrieron una vulnerabilidad que podría haber expuesto la información de identificación personal (PII) de aproximadamente 200.000 de sus accionistas de Equity for Punks y muchos más clientes, lo que ha planteado serias dudas sobre cómo el La aplicación fue codificada y desarrollada.
Los datos incluían nombres, fechas de nacimiento, direcciones de correo electrónico, sexo, direcciones de entrega, números de teléfono, números de accionistas, detalles e identificaciones de descuentos en bares, referencias realizadas e historial de compra de cerveza, y estuvieron accesibles durante al menos 18 meses.
La vulnerabilidad fue descubierta por investigadores de Pen Test Partners, una consultora de seguridad cibernética con sede en Buckinghamshire, que ahora han publicado sus hallazgos en línea.
Según los investigadores, la fuente del problema radicaba en la aplicación móvil BrewDog, que fue diseñada para que le diera a cada usuario el mismo token de portador de API codificado, que se utiliza para autenticarse en API protegidas por OAuth 2.0, y que se usaría con mayor frecuencia y solo se proporcionará de forma segura después de una solicitud de autenticación exitosa para permitir el acceso al dispositivo de un usuario específico.
Al codificar estos tokens, los desarrolladores de la aplicación hicieron posible que un usuario acceda a los datos de otros usuarios agregando una ID de cliente diferente al final de la URL del punto final de la API. Efectivamente, esto significaba que un actor malintencionado podría tener ID de cliente forzados a la fuerza para descargar la base de datos completa de los usuarios de la aplicación BrewDog.
Esto les habría permitido no solo apuntar a los bebedores con robo de identidad, fraude cibernético y otros delitos habilitados digitalmente, sino también defraudar a BrewDog al generar códigos QR para descuentos en las facturas de los bares, o aprovechar injustamente ofertas especiales, como las gratuitas. cerveza en los cumpleaños de las personas, modificando los datos.
Pen Test Partners y BrewDog dijeron que no había evidencia aparente de que se hubiera accedido a los datos, pero los investigadores señalaron que debido a que cada solicitud provendría de una cuenta válida de BrewDog, sería difícil probar su validez sin una investigación forense más exhaustiva. .
Los investigadores dijeron que la violación planteó serias dudas sobre las aparentes fallas de seguridad en el proceso de desarrollo detrás de la aplicación BrewDog.
“Es realmente extraño que el token de portador estático no se haya visto antes”, dijeron. “Las pruebas funcionales de API deberían haber revelado este problema, al igual que una revisión de seguridad exhaustiva.
“Estos tokens de portador no son las únicas claves que están presentes en el código fuente de BrewDog. No se necesita mucho esfuerzo para buscar ‘portador’ o ‘clave’ e identificar tokens codificados “.
Los investigadores agregaron: “Cuando se estaba diseñando la API, ¿pensaron que necesitarían una autenticación previa de token de portador por alguna razón? Esta decisión de diseño debería haber sido identificada por un equipo de seguridad interno que debería haber estado involucrado al inicio del proyecto “.
Sin embargo, los investigadores también afirmaron que habían encontrado serias dificultades al intentar hacer una divulgación responsable a BrewDog, poniendo los datos en riesgo por más tiempo del necesario y arrojando más dudas sobre la postura de seguridad de la empresa.
En su divulgación, dijeron que habían tenido dificultades para comunicarse con alguien de la organización con el poder para ayudar, y que aunque la empresa eliminó la API vulnerable rápidamente, esto afectó la funcionalidad de la aplicación y porque no comunicó lo que había hecho o por qué, dejó a los usuarios frustrados.
En el momento de escribir este artículo, Pen Test Partners dijo que, hasta donde sabían, varios miembros del personal de la empresa son accionistas y usuarios de la aplicación y descubrieron sus propios datos durante la investigación, aún no se ha realizado ninguna comunicación sobre el incidente.
“Trabajé con BrewDog durante un mes y probé seis versiones diferentes de su aplicación de forma gratuita”, dijo uno de los investigadores de Pen Test Partners. “Me decepcionó un poco BrewDog como cliente, accionista y la forma en que respondieron a la divulgación de seguridad. Necesito una cerveza.”
Un portavoz de BrewDog dijo a Computer Weekly en un comunicado: “Recientemente, una empresa de servicios de seguridad técnica de terceros nos informó de una vulnerabilidad en una de nuestras aplicaciones, luego de lo cual de inmediato retiramos la aplicación y resolvimos el problema. No hemos identificado ninguna otra instancia de acceso a través de esta ruta o datos personales que se hayan visto afectados de alguna manera. Por tanto, no existía el requisito de notificar a los usuarios.
“Agradecemos a la empresa de servicios de seguridad técnica de terceros por alertarnos sobre esta vulnerabilidad. Estamos totalmente comprometidos con garantizar la seguridad de la privacidad de nuestros usuarios. Nuestros protocolos de seguridad y evaluaciones de vulnerabilidades siempre se revisan y perfeccionan para que podamos garantizar que se minimice el riesgo de un incidente de seguridad cibernética “.
El oficial de protección de datos global de OneLogin, Niamh Muldoon, dijo que el incidente fue una lección valiosa no solo en la codificación segura, sino también en los fundamentos de la política de seguridad organizacional.
“Los líderes empresariales que no comprenden que la confianza y la seguridad son un verdadero diferenciador empresarial probablemente verán un impacto en su marca y negocio durante los próximos años si aún no lo han experimentado”, dijo. “Para 2023, el 65% de la población mundial tendrá sus datos personales cubiertos por las regulaciones de privacidad modernas, en comparación con el 10% en 2020.
“Este problema debe abordarse en todos los niveles de una organización, incluidos los equipos de administración ejecutiva y de sala de juntas. Hay un ligero aumento en la confianza y la experiencia en seguridad en los niveles de dirección ejecutiva y salas de juntas, pero esto es inconsistente en todas las industrias y empresas. Si continúa la falta de representación en estos niveles, afectará la confianza y la reputación de la marca asociadas con una organización “.
Muldoon agregó: “Los líderes empresariales deben pensar en los controles operativos que se pueden ejecutar como parte de las operaciones diarias para proteger los datos y los sistemas, así como en cómo pueden usar estos conjuntos de control para crear un equipo de alto rendimiento. trabajando con organizaciones de seguridad y privacidad “.