Falha em app de cervejaria permitia que hackers descolassem cerveja de graça

Imagine uma noite você entrando numa cervejaria e escolhendo entre 82 cervejas artesanais premium para um porre astronômico — e totalmente por conta da casa? Parece promoção maluca de rede social ou roteiro do próximo “Se Beber Não Case”, mas neste caso, é irresponsabilidade mesmo: uma brecha no app da fabricante escocesa BrewDog permitia abusar de uma vulnerabilidade que conferia cerveja de graça.

A falha foi descoberta pelo grupo PenTestPartners, contratado para avaliar a segurança do código do app. Segundo os testadores, uma brecha no gerador de QR codes, usado para emitir vales-cerveja gratuitos a acionistas aniversariantes, poderia ser utilizado indefinidamente para hackers encherem a cara nas contas da BrewDog. O código era explorável durante três dias antes e depois da data de aniversário.

Na prática, isso acontecia por um descuido na configuração do app. O programa utilizava o mesmo Bearer Token — uma linha de código de autenticação — para todas as contas.

“Geralmente, há um processo de autenticação onde um usuário envia suas credenciais, e uma Bearer Token é devolvida na qual permite acesso aos pontos finais no contexto daquele usuário”, afirmam os testadores. O contexto, no caso do app da BrewDog, é o código para o QR code.

Os testes indicaram que a falha estava disponível desde março de 2020, e a cervejaria informa não encontrar provas de abuso da vulnerabilidade. Para os testadores de segurança, isso não é o bastante.

“Enquanto a BrewDog diz que não consegue encontrar nenhuma evidência disso [o abuso], não temos certeza de como eles iriam validar isso: cada solicitação estaria vindo de uma conta válida, com uma Bearer Token válida (porém idêntica!). Logo, como eles iriam provar que a solicitação veio do usuário válido e não de pessoas desconhecidas?”, afirmam.

Cerveja de graça, e dados pessoais de aperitivo

Na prática, a cerveja de graça ainda é a menor dos problemas do incidente hacker. Para a BrewDog, o problema vêm servido de um altíssimo risco de brecha de dados. A mesma configuração do Bearer Token fazia com que todos os clientes que cederam informações pessoas à cervejaria — incluindo 200 mil acionistas — estivessem expostos.

“Um atacante poderia realizar uma força bruta para apreender as identidades dos clientes e baixar toda a base de dados dos clientes”, afirmam os pentesters. “Isso não só poderia identificar os acionistas com maior parcela de propriedade, juntamente a seus endereços pessoais, mas também poderia gerar QR codes de descontos para a vida toda!”

A BrewDog não emitiu comentários sobre a situação e tampouco informou oficialmente seus clientes da brecha. A empresa precisou lançar quatro novas atualizações até que a falha nos QR codes deixasse de conceder cerveja de graça a hackers espertinhos.

Imagem: LightField Studios/Shutterstock

Leia mais:

• Governo federal estuda criar batalhão de ”hackers do bem”
• Facebook: dados de 1,5 bilhão de usuários estão à venda em fórum hacker
• Mãe culpa ataque hacker a hospital por morte de sua filha de nove meses

Já assistiu aos nossos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!