Connect with us

Technologie

Le spécialiste de la bière artisanale Brewdog corrige une grave vulnérabilité de l’application

Published

on


La chaîne de brasseries et de pubs BrewDog a mis à jour son application mobile après que des pirates éthiques ont découvert une vulnérabilité qui aurait pu exposer les informations personnellement identifiables (PII) d’environ 200 000 de ses actionnaires d’Equity for Punks et de nombreux autres clients, ce qui a soulevé de sérieuses questions sur la façon dont l’application a été codée et développée.

Les données comprenaient les noms, les dates de naissance, les adresses électroniques, le sexe, les adresses de livraison, les numéros de téléphone, les numéros d’actionnaire, les détails et les pièces d’identité des remises de bar, les références effectuées et l’historique des achats de bière, et étaient accessibles pendant au moins 18 mois.

La vulnérabilité a été découverte par des chercheurs de Pen Test Partners, un cabinet de conseil en cybersécurité basé dans le Buckinghamshire, qui ont maintenant publié leurs résultats en ligne.

Selon les chercheurs, la source du problème résérait dans l’application mobile BrewDog, qui a été conçue pour donner à chaque utilisateur le même jeton de porteur d’API codé en dur – qui sont utilisés pour s’authentifier auprès des API protégées par OAuth 2.0, et ne seraient plus généralement et en toute sécurité fournis qu’après une demande d’authentification réussie pour permettre l’accès à l’appareil d’un utilisateur spécifique.

En codant en dur ces jetons, les développeurs de l’application ont permis à un utilisateur d’accéder aux données d’autres utilisateurs en ajoutant un ID client différent à la fin de l’URL du point de terminaison de l’API. En effet, cela signifiait qu’un acteur malveillant pouvait avoir des ID client forcés par la brute pour télécharger l’intégralité de la base de données des utilisateurs de l’application BrewDog.

Cela leur aurait permis non seulement de cibler les buveurs avec le vol d’identité, la cyberfraude et d’autres crimes numériques, mais aussi de frauder BrewDog lui-même en générant des codes QR pour des réductions sur les factures de bar, ou de profiter injustement d’offres spéciales, telles que la bière gratuite sur les anniversaires des gens, en modifiant les données.

Pen Test Partners et BrewDog ont tous deux déclaré qu’il n’y avait aucune preuve apparente que les données avaient été consultées, mais les chercheurs ont souligné que parce que chaque demande proédrait d’un compte BrewDog valide, il serait difficile de prouver leur validité sans une enquête médico-légale plus approfondie.

Les chercheurs ont déclaré que la violation soulevait de sérieuses questions sur les failles de sécurité apparentes dans le processus de développement derrière l’application BrewDog.

« C’est vraiment étrange que le jeton de porteur statique n’ait pas été repéré auparavant », ont-ils déclaré. « Les tests d’API fonctionnelles auraient dû révéler ce problème, tout comme un examen approfondi de la sécurité.

« Ces jetons porteurs ne sont pas les seules clés présentes dans le code source de BrewDog. Il ne faut pas beaucoup d’efforts pour rechercher ‘porteur’ ou ‘clé’ et identifier les jetons codés en dur.

Les chercheurs ont ajouté: « Lorsque l’API a été conçue, pensaient-ils qu’ils auraient besoin d’une pré-authentification de jeton au porteur pour une raison quelconque? Cette décision de conception aurait dû être identifiée par une équipe de sécurité interne qui aurait dû être impliquée au début du projet.

Cependant, les chercheurs ont également affirmé qu’ils avaient rencontré de sérieuses difficultés à tenter de faire une divulgation responsable à BrewDog, mettant les données en danger plus longtemps que nécessaire et jetant d’autres doutes sur la posture de sécurité de l’entreprise.

Dans leur divulgation, ils ont déclaré qu’ils avaient eu du mal à communiquer avec quelqu’un de l’organisation habilité à aider, et que bien que l’entreprise ait rapidement supprimé l’API vulnérable, cela avait un impact sur la fonctionnalité de l’application et parce qu’elle ne communiquait pas ce qu’elle avait fait ou pourquoi, laissait les utilisateurs frustrés.

Au moment d’écrire ces lignes, Pen Test Partners a déclaré qu’à sa connaissance – un certain nombre de membres du personnel de la société sont actionnaires et utilisateurs de l’application et ont découvert leurs propres données au cours de la recherche – aucune communication sur l’incident n’a encore été faite.

« J’ai travaillé avec BrewDog pendant un mois et j’ai testé gratuitement six versions différentes de leur application », a déclaré l’un des chercheurs de Pen Test Partners. « Je suis un peu déçu par BrewDog à la fois en tant que client, actionnaire et la façon dont ils ont réagi à la divulgation de sécurité. J’ai besoin d’une bière.

Un porte-parole de BrewDog a déclaré à Computer Weekly dans un communiqué: « Nous avons récemment été informés d’une vulnérabilité dans l’une de nos applications par une société de services de sécurité technique tierce, à la suite de quoi nous avons immédiatement retiré l’application et résolu le problème. Nous n’avons identifié aucun autre cas d’accès via cette voie ou des données personnelles ayant été affectées de quelque manière que ce soit. Il n’y avait donc aucune obligation d’aviser les utilisateurs.

« Nous sommes reconnaissants à la société de services de sécurité technique tierce de nous avoir alertés de cette vulnérabilité. Nous sommes totalement engagés à assurer la sécurité de la vie privée de nos utilisateurs. Nos protocoles de sécurité et nos évaluations de vulnérabilité sont toujours en cours de révision et toujours en cours d’affinement, en afin que nous puissions nous assurer que le risque d’un incident de cybersécurité est minimisé.

Niamh Muldoon, responsable mondial de la protection des données chez OneLogin, a déclaré que l’incident était une leçon précieuse non seulement pour le codage sécurisé, mais aussi pour les principes fondamentaux de la politique de sécurité organisationnelle.

« Les chefs d’entreprise qui ne comprennent pas que la confiance et la sécurité sont un véritable facteur de différenciation des entreprises sont susceptibles de voir un impact sur leur marque et leur entreprise au cours des deux prochaines années s’ils ne l’ont pas déjà expérimenté », a-t-elle déclaré. « D’ici 2023, 65 % de la population mondiale verra ses données personnelles couvertes par les réglementations modernes en matière de protection de la vie privée, contre 10 % en 2020.

« Ce problème doit être abordé à tous les niveaux d’une organisation, y compris les conseils d’administration et les équipes de direction. Il y a une légère augmentation de la confiance et de l’expertise en matière de sécurité au niveau de la haute direction et des conseils d’administration, mais cela est incohérent dans tous les secteurs et toutes les entreprises. Si un manque de représentation à ces niveaux persiste, cela aura un impact sur la confiance et la réputation de la marque associées à une organisation. »

Muldoon a ajouté : « Les chefs d’entreprise doivent réfléchir aux contrôles opérationnels qui peuvent être exécutés dans le cadre des opérations quotidiennes pour protéger les données et les systèmes, ainsi qu’à la façon dont ils peuvent utiliser ces ensembles de contrôle pour créer une équipe hautement performante travaillant avec des organisations de sécurité et de confidentialité. »

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance