Hackare kunde få gratisöl på Brewdog

Hackare har kunnat ge sig själva rabatter eller till och med gratis öl på Brewdog på grund av en säkerhetsläcka i Brewdogs app.

Det var säkerhetsfirman pentestpartners.com som upptäckte att Brewdogs app innehöll en hårdkodad API-nyckel som innebar att vem som helst kunde kommunicera med servern och hämta känslig information om 200 000 medlemmar i Equity for Punks, Brewdogs aktieägarprogram.

Anställda på pentestpartners.com skriver att de bland annat har lyckats hämta namn, födelsedatum, e-postadress, kön, adresser, telefonnummer, antal aktier och rabatt-id på användare. Den sistnämnda kunde sen användas för att generera qr-koder som gav rabatt eller gratisöl på Brewdog.

Läckan existerade från och med version 2.5.5 av appen som kom i våras och först i slutet av september kom en fix på problemet i version 2.5.13.

Enligt Brewdog har ingen kommit över någon data under den tid säkerhetsläckan fanns. I ett svar till pentestpartners.com skriver man:

– Vi har inte hittat något i loggarna som tyder på att säkerhetsläckan utnyttjats av någon eller att data har exponerats.

Men på pentestpartners.com är de inte övertygade.

– Även om Brewdog säger att de inte ser något sånt vet vi inte riktigt hur de kan komma fram till den slutsatsen. Varje begäran om data skulle komma från ett riktigt konto med en korrekt API-nyckel. Hur han de då säga om begäran kom från en äkta användare eller från någon okänd, skriver man.

Det tog lång tid för Brewdog att reagera när säkerhetsluckan avslöjades. När deras sociala medier-team inte reagerade tog pentestpartners.com kontakta via Linkedin och först då togs API:et ner, vilket innebar att det inte längre gick att få ut rabattkoder i appen innan den nya versionen av appen kom ut.