Nhiều thông tin các nhân của hàng trăm nghìn khách hàng, thậm chí là các cổ đông của Equity for Punks đã vị rò rỉ ra ngoài trong suốt hơn một năm chỉ vì một lỗi xác thực của BrewDog.
Được biết sai lầm này được phát hiện ra bởi các nhà nghiên cứu tại công ty thử nghiệm và tư vấn bảo mật Pen Test Partners phát hiện thông qua những lỗ hổng của các mã thông báo mạng API. Sai lầm này đã cho phép bất kỳ người dùng nào truy cập vào các thông tin cá nhân (PII) của người dùng khác gồm chi tiết sở hữu cổ phần của người dùng và thanh chiết khấu. Hậu quả là hơn 200,000 lượt thông tin của các cổ đông cộng với nhiều khách hàng khác đã bị lộ trong suốt hơn 18 tháng qua.
Theo dự đoán của các nhà nghiên cứu, lỗi của token này sẽ khiến BrewDog trả một cái giá rất đắt, ví dụ các nhà cổ đông có thể yêu cầu một cuộc biểu quyết theo điều khoản chương trình của Equity for Punks.
Pen Test Partners đã lên tiếng chỉ trích công nghệ xử lí của BrewDog khá tồi tệ. Pen Test cho biết: “Thay vì tỏ ra “chuyên nghiệp” như chúng tôi, thì BrweDog hãy lên tiếng thông báo cho các cổ đông bị ảnh hưởng trong sự cố này.”
Michael Isbitski, nhà truyền bá kỹ thuật tại Salt Security đã chia sẻ với Tạp chí Infosecurity : “BrewDog ổn về tất cả trừ việc “khoe” thông tin cá nhân của khách hàng trên một chiếc đĩa bạc để mời tin tặc tấn công.”
Isbitski nói rằng thay vì sử dụng loại mã thông báo ủy quyền động, sắp hết hạn thường thấy trong triển khai OAuth2 thì nhà sản xuất bia đã sử dụng mã thông báo ủy quyền tĩnh, được mã hóa cứng trong mã nguồn ứng dụng.
Isbitski cho biết: “Những mã thông báo tĩnh đó đã cấp quyền truy cập vào các API back-end của BrewDog, mà những kẻ tấn công có thể gọi trực tiếp để trích xuất dữ liệu.
“Ngoài ra, BrewDog đã sử dụng số nhận dạng tài khoản có thể dễ dàng dự đoán, khiến kẻ tấn công trở thành một nhiệm vụ tầm thường khi liệt kê thông qua tài khoản người dùng và bòn rút PII.”