Imagina una noche que entras en una cervecería y eliges entre 82 cervezas artesanales premium para un atracón astronómico, ¿y totalmente en la casa? Suena como una promoción loca en las redes sociales o un guión para el próximo "Si bebes, no te cases", pero en este caso, es realmente irresponsable: un incumplimiento en la aplicación del fabricante escocés BrewDog permitió abusar de una vulnerabilidad que le confirió cerveja gratis.

La falla fue descubierta por el grupo. PenTestPartners, contratado para evaluar el seguridad del código de la aplicación. Según los evaluadores, una laguna en el generador de códigos QR, que se utiliza para emitir tarjetas de cerveza gratis a los accionistas de cumpleaños, podría usarse indefinidamente para los piratas informáticos empantanarse en las cuentas de BrewDog. El código fue explotable durante tres días antes y después de la fecha de aniversario.

publicidad

En la práctica, esto sucedió debido a un descuido en la configuración de la aplicación. El programa usó el mismo Bearer Token, una línea de código de autenticación, para todas las cuentas.

“Por lo general, existe un proceso de autenticación en el que un usuario envía sus credenciales y se devuelve un token de portador que permite el acceso a los puntos finales en el contexto de ese usuario”, dicen los evaluadores. El contexto, en el caso de la aplicación de BrewDog, es el código del código QR.

vaso de cerveza
Además de la cerveza, la falla otorgó acceso a los principales datos de los clientes de BrewDog. (Imagen: MabelAmber / Pixabay / CC)

Las pruebas indicaron que la falla ha estado disponible desde marzo de 2020, y la cervecería informa que no ha encontrado evidencia de abuso de la vulnerabilidad. Para los probadores de seguridad, esto no es suficiente.

“Si bien BrewDog dice que no pueden encontrar ninguna evidencia de esto [el abuso], no estamos seguros de cómo lo validarían: cada solicitud provendría de una cuenta válida, con un token de portador válido (¡pero idéntico!). Entonces, ¿cómo probarían que la solicitud provenía del usuario válido y no de personas desconocidas? ”, Dicen.

Cerveza y aperitivos personales gratis

En la práctica, la cerveza gratis sigue siendo el menor de los problemas del incidente del pirata informático. Para BrewDog, el problema viene con un riesgo extremadamente alto de violación de datos. La misma configuración de Bearer Token significó que todos los clientes que proporcionaron información personal a la cervecería, incluidos 200 accionistas, estuvieron expuestos.

"Un atacante podría utilizar la fuerza bruta para apoderarse de las identidades de los clientes y descargar toda la base de datos de clientes", dicen los pentesters. "Esto no solo podría identificar a los accionistas más poseídos, junto con sus direcciones personales, sino que también podría generar códigos QR para descuentos de por vida".

BrewDog no comentó sobre la situación, ni informó oficialmente a sus clientes de la violación. La compañía tuvo que lanzar cuatro nuevas actualizaciones antes de que la falla del código QR dejara de dar cerveza gratis a los piratas informáticos inteligentes.

Imagen: LightField Studios / Shutterstock

Leia mais:

¿Has visto nuestros nuevos videos en YouTube do Olhar Digital? ¡Suscríbete al canal!