В мобильном приложении BrewDog нашли уязвимость, которая существовала на протяжении полутора лет и могла дать хакерам возможность похитить данные клиентов компании, в том числе. 200 тысяч инвесторов.
Консалтинговая компания в сфере информационной безопасности Pen Test Partners сообщила, что из-за того, каким способом в приложении BrewDog осуществлялась аутентификация пользователей, злоумышленники очень легко могли получить доступ к личным данным клиентов пивоварни и участников инвестиционной программы Equity for Punks.
Одно из условий программы гласит, что инвесторы в день своего рождения (либо за три дня до или после него) могут получить бесплатное пиво в любом из баров BrewDog. Таким образом, пояснили специалисты по безопасности, можно было получить доступ к аккаунту с нужной датой рождения, сгенерировать QR-код и получать бесплатное пиво. Помимо даты рождения, можно было получить доступ к полному имени клиента, его номеру телефона и емейлу, адресу доставки, количеству акций и т. д. По заявлению Pen Test Partners, все эти сведения относятся к персональным данным и защищаются законом Соединённого Королевства. Компании обязаны надёжно хранить эти данные.
BrewDog заявила, что устранила уязвимость, и проведённый пивоварней аудит не обнаружил признаков незаконного использования данных. «Технологическая компания недавно проинформировала нас о наличии уязвимости в одном из наших приложений, после чего мы немедленно отключили его и устранили проблему, — прокомментировали в компании. — Мы не обнаружили попыток доступа к персональным данным посредством этой уязвимости, поэтому предупреждать пользователей было необязательно».
Однако в Pen Test Partners не уверены, что BrewDog может достоверно установить отсутствие незаконного доступа к данным — все запросы приходили бы от действующих аккаунтов пользователей, и выявить злоумышленника в таком случае без экспертно-криминалистического расследования невозможно.
BrewDog в настоящий момент готовится к размещению акций на Лондонской фондовой бирже. IPO планировалось провести ещё в 2020 году, однако из-за пандемии размещение было отложено. Помимо связанных с пандемией трудностей, BrewDog столкнулась с критикой со стороны группы бывших сотрудников, которые обвинили компанию и её руководство в создании токсичной культуры. После этого компания наняла консультантов для проведения независимой оценки, повысила зарплаты и организовала горячую линию по вопросам этики на рабочем месте. В преддверии выхода на IPO будут внедрены и другие изменения, заявил сооснователь пивоварни Джеймс Уотт.