- label Novinky z IT a kyberbezpečnosti
- remove_red_eye 240 zobrazení
Společnost Pen Test Partners sdílela zprávu, že BrewDog (Skotský pivovar) odhalil podrobnosti o více než 200 000 akcionářích „Equity for Punks“ za více než 18 měsíců spolu s mnoha dalšími zákazníky.
Během této doby dostal každý uživatel mobilní aplikace stejný napevno kódovaný token nositele API, což znemožnilo autorizaci žádosti a umožnilo každému uživateli přístup k PII (Personal Identification Information), držení akcií, slevové sazbě a dalším informacím jiných uživatelů. Společnost BrewDog neinformovala akcionáře ani zákazníky o tomto porušení soukromí, dokud neuplynulo příliš mnoho času.
Vědci z Pen Test Partners mohli snadno získat data o zákaznících, včetně:
- jména
- data narození
- emailové adresy
- pohlaví
- všech dříve používaných dodacích adres
- telefonního čísla
- počtu držených akcií
- čísla akcionáře
- výše slevy na baru
- ID slevy na baru - slouží k vytvoření QR kódu
- počtu doporučení
- druhu dříve zakoupeného piva
Vědci tvrdí, že by útočník mohl hrubě vynutit ID zákazníků a stáhnout celou databázi zákazníků, což by mohlo vést útočníky k identifikaci akcionářů s největšími držbami a jejich domovských adres a jejich použití k generování doživotní nabídky slevových QR kódů.
Michael Isbitski, technický evangelista společnosti Salt Security, poskytovatel zabezpečení API založený na Palo Alto v Kalifornii, říká: „BrewDog nepoužíval dynamické, expirující autorizační tokeny, jako například to, co byste mohli vidět v rámci správné implementace OAuth2. Společnost používala statické autorizační tokeny, které byly pevně zakódovány ve zdrojovém kódu aplikace. Tyto statické tokeny poskytovaly přístup k back-endovým rozhraním API BrewDog, které mohli útočníci volat přímo k extrahování dat. Mobilní binární soubory lze snadno zpětně analyzovat, kde lze tyto statické tokeny extrahovat. BrewDog navíc používal identifikátory účtů, které lze snadno předvídat, což z něj činí pro útočníka triviální úkol vyjmenovat uživatelské účty a sifon PII.“
Isbitski říká, že incident je dokonalým příkladem přílišné důvěry v řízení přístupu jako jedinou strategii pro zabezpečení API. "Ďábel je v detailech autentizace a autorizace a organizace často implementují řízení přístupu nesprávně. Tak špatně kódovaná API a mobilní rozhraní často procházejí bezpečnostními audity a skenováním aplikací, protože pouhá přítomnost autorizačního záhlaví může vytvářet iluzi správného přístupu." Kontrola. Důkladné testování řízení přístupu k API, jako například zajištění dynamičnosti autentizačních a autorizačních tokenů a jejich vypršení po dostatečných časových intervalech, je často mimo rozsah rychlých ručních inspekcí a většiny skenovacích nástrojů.
Incident také zdůrazňuje nebezpečí nefunkční autentizace a nefunkční autorizace (BOLA), protože BrewDog také nepoužíval dostatečnou náhodnost k rozlišení identifikátorů zákazníků, dodává. „BrewDog v podstatě vyložil pro útočníky soukromé informace zákazníků na stříbrném podnose.“
Autor původního článku: Neznámý
Překlad: Ondřej Strachota
