BrewDog, la catena di birrerie e pub scozzesi, celebre tra le altre cose per le birre IPA, contemporaneamente al suo annuncio dell’apertura di 6 nuovi bar in Italia (nelle città di Milano, Torino e Genova, da quello che sappiamo), è stata vittima di un leak informatico, ovvero una perdita e pubblicazione di dati riservati, sulla falsariga di quanto successo a Facebook e Twitch nei giorni scorsi.
Come dettagliato in un report di PenTestPartners, il problema sarebbe emerso da un uso non autorizzato dell’API ufficiale proprietaria, sfruttando indebitamente una falla nel sistema di autenticazione. Pare che l’uso in questione avvenisse, di fatto, manipolando semplicemente l’URL della API.
Quali dati sono stati esposti? In questi casi i leak si presentano come file organizzati in tabelle o CSV, che si aprono con Excel o editor di testo e che includono dettagli del tipo:
Nome e cognome
Data di nascita
Sesso
Indirizzi di consegna
Telefono
Azioni possedute
Numero dell’azionista
Scontistica
ID sconto bar: utilizzato per creare il codice QR
Numero di rinvii
Storico birre acquistate
Il problema sembra esistere da marzo 2020, periodo in cui si era passati ad una versione buggata, la 2.5.5, che è rimasta in produzione per molto tempo, senza che gli sviluppatori se ne accorgessero. Il problema sarebbe stato corretto con la versione 2.5.13, che è andata online dal 27 settembre 2021, senza apparenti indicazioni esplicite sulla risoluzione dei log delle modifiche.
Photo by Timothy Dykes on Unsplash
Ingegnere per passione, consulente per necessità, docente di informatica; ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti. Ogni guida viene revisionata e aggiornata periodicamente. Per contatti clicca qui
