l+f: Jeden Tag Geburtstag haben und Bier trinken
Party ohne Pause: Was für viele wie ein Traum klingt, wurde für Sicherheitsforscher Realität - zumindest rein theoretisch.
(Bild: monticello/Shutterstock.com)
Nutzer-Konten in der App der schottischen Brauerei BrewDog waren unzureichend abgesichert. So wären etwa persönliche Details von über 200.000 Aktionären für potenzielle Angreifer einsehbar gewesen. Mit vergleichsweise wenig Aufwand hätten sie diese Informationen für eine Bier-Flatrate missbrauchen können.
Sicherheitsforscher von Pen Test Partner haben die App untersucht und sind darauf gestoßen, dass jedes Konto über einen identischen hartcodierten Token "abgesichert" war. Das führt die Autorisierung ad absurdum und so konnten die Forscher auf jegliche Daten aller Nutzer zugreifen.
Die Feste feiern, wie sie fallen
Da Aktionäre jeweils drei Tage vor und nach ihrem Geburtstag Freibier-QR-Codes in der App erzeugen können, hätten sie sich lediglich in Accounts mit jeweils passenden Daten einloggen müssen, um sich so dauerhaft zu betrinken und Geburtstag zu feiern.
BrewDog hat sich einem Bericht der Forscher zufolge nicht sehr vorbildlich verhalten und anfangs gar nicht auf die geschilderte Problematik reagiert. Als sie die Sicherheitsproblematik dann eingesehen haben, brauchte es sechs neue Versionen der App, bis das Problem gelöst war. Im Anschluss baten sie die Forscher, keine Details zur Art der gefährdeten Daten und den Namen der Brauerei zu veröffentlichen.
lost+found
Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.
Alle l+f Meldungen in der Übersicht
(des)
